WAF使用概览
开通Web应用防火墙(WAF)服务后并将您的网站域名接入WAF,使网站的访问流量全部流转到WAF进行防护。
网站业务梳理
建议您对所需接入WAF进行防护的网站业务情况进行全面梳理,帮助您了解当前业务状况和具体数据,为后续配置WAF的防护策略提供依据。
|
梳理项 |
说明 |
|---|---|
|
网站和业务信息 |
|
|
网站/应用业务每天的流量峰值情况,包括Mbps、QPS |
判断风险时间点,并且可作为WAF实例的业务带宽和业务QPS规格的选择依据。
说明:
如果您选择的QPS规格不足以支撑网站/应用业务每天的流量峰值,对超出当前WAF版本支持峰值的QPS,WAF将不再防护网站,QPS将直接透传到源站,影响网站/应用业务的防护。 |
|
业务的主要用户群体(例如,访问用户的主要来源地区) |
判断非法攻击来源,后续可使用地理位置访问控制功能屏蔽非法来源地区。 |
|
业务是否为C/S架构 |
如果是C/S架构,进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端。 |
|
源站部署的具体位置 |
判断申请哪种实例region。 |
|
源站服务器的操作系统(Linux、Windows)和所使用的Web服务中间件(Apache、Nginx、IIS等) |
判断源站是否存在访问控制策略,避免源站误拦截WAF回源IP转发的流量。 |
|
域名使用协议 |
判断所使用的通信协议WAF是否支持。
说明:
网站的“对外协议”、“源站协议” 必须要根据防护网站的实际情况配置正确,WAF才会正常防护您的网站。
|
|
业务端口 |
判断需要防护的业务端口是否在WAF支持的端口范围内。 |
|
业务是否使用TLS 1.0或弱加密套件 |
判断业务使用的加密套件是否支持。 |
|
业务在接入WAF前,是否已接入DDoS高防、CDN等服务。 |
接入WAF时,判断如何选择“是否已使用代理”,以及正确进行域名解析。 |
|
(针对HTTPS业务)客户端是否支持SNI标准 |
对于支持HTTPS协议的域名,接入WAF后,客户端和服务端都需要支持SNI标准。 |
|
业务交互过程 |
了解业务交互过程、业务处理逻辑,便于后续配置针对性防护策略。 |
|
活跃用户数量 |
便于后续在处理紧急攻击事件时,判断事件严重程度,以采取风险较低的应急处理措施。 |
|
业务及攻击情况 |
|
|
业务类型及业务特征(例如,游戏、棋牌、网站、App等业务) |
便于在后续攻击防护过程中分析攻击特征。 |
|
单用户、单IP的入方向流量范围和连接情况 |
帮助后续判断是否可针对单个IP制定限速策略。 |
|
用户群体属性 |
例如,个人用户、网吧用户、或通过代理访问的用户。 |
|
业务是否遭受过大流量攻击、攻击类型和最大的攻击流量峰值 |
判断是否需要增加DDoS防护服务,并根据攻击流量峰值判断需要的DDoS防护规格。 |
|
业务是否遭受过CC攻击和最大的CC攻击峰值QPS |
通过分析历史攻击特征,配置预防性策略。 |
|
业务是否已完成压力测试 |
评估源站服务器的请求处理性能,帮助后续判断是否因遭受攻击导致业务发生异常。 |
WAF的使用概览
|
子流程 |
说明 |
|---|---|
|
申请独享引擎 |
通过申请独享引擎开通WAF。 详细操作请参见申请WAF独享引擎。 |
|
添加防护网站 |
添加需要防护的网站。 详细操作请参见步骤一:添加防护网站。 |
|
开启WAF防护 |
添加防护域名后,可开启WAF防护,保护网站业务安全稳定。
说明:
|
|
配置自定义规则 |
WAF除了内置的防护规则外,还提供了丰富全面的自定义防护配置规则,全方位的防护您的网站。详细操作请参见配置防护规则。 |
|
处理误报事件 |
WAF拦截或者记录的攻击事件为误报时,可对误报进行屏蔽处理。详细操作请参见处理误报事件。 |
|
安全总览 |
可查看到昨天、今天、3天、7天或者30天范围内的防护数据。详细操作请参见安全总览。 |
