WAF操作指引
开通Web应用防火墙(WAF)服务后并将您的网站域名接入WAF,使网站的访问流量全部流转到WAF进行防护。
使用流程
操作 |
说明 |
|---|---|
云模式支持包年/包月或按需计费方式开通,独享模式支持按需计费方式开通。 |
|
添加需要防护的网站,WAF保护网站业务安全稳定。
说明:
|
|
防护策略是多种防护规则的合集,用于配置和管理Web基础防护、黑白名单、精准访问防护等防护规则,一条防护策略可以适用于多个防护域名,但一个防护域名只能绑定一个防护策略。 |
|
Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面,通过查看并分析防护日志,对网站的防护策略进行调整,也可以对误报时间进行屏蔽。 |
|
开启告警通知后,用户可以第一时间接收被拦截和仅记录的攻击日志。 同时,您也可以配置证书到期通知,证书即将到期时,WAF将通过用户设置的接收通知方式(例如邮件或短信)通知用户。 |
配套功能
按照使用流程完成网站配置后,您也可以使用以下功能增强网站的安全性能。
功能 |
说明 |
|---|---|
可查看到昨天、今天、3天、7天或者30天范围内的防护数据。 |
|
WAF可根据您创建的日志报告模板,生成安全日报、周报、月报、或者自定义安全报告统计的时间范围内的报告,并将报告在您设置的报告发送时间段以您配置的接收方式发送给您。 |
|
WAF默认配置的最低TLS版本为TLS v1.0,加密套件为加密套件1,为了确保网站安全,建议您将网站的最低TLS版本和TLS加密套件配置为安全性更高TLS版本和加密套件。 |
|
开启IPv6防护后,WAF将为域名分配IPv6的接入地址,WAF直接通过IPv6地址访问源站。 |
|
HTTP2协议仅适用于客户端到WAF之间的访问,且“对外协议”必须包含HTTPS才能支持使用。 |
|
|
|
网站接入WAF防护之后,若您访问网站时出现大量的502 Bad Gateway,504 Gateway Timeout错误或者等待处理的请求,为了保护源站的安全,可使用WAF的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时,将触发WAF熔断功能开关,实现宕机保护和读等待URL请求保护。 |
|
WAF根据配置的流量标识识别客户端IP、Session或User标记,以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 |
|
当“对外协议”配置为HTTPS时,WAF支持开启“Cookie安全属性”,开启后会将Cookie的HttpOnly和Secure属性设置为true。 |
|
当访问者触发WAF拦截时,默认返回WAF“系统默认”的拦截返回页面,您也可以根据自己的需要,配置“自定义”或者“重定向”的拦截返回页面。 |
|
如果您想通过WAF添加额外的Header头部信息,例如$request_id让整个链路的请求都可以关联起来。可参考本章节配置字段转发,WAF会将添加的字段插到Header中,转发给源站。 |
|
将证书上传到WAF,添加防护网站时可直接选择上传到WAF的证书。 |
|
IP地址组集中管理IP地址或网段,被黑白名单规则引用时可以批量设置IP/IP地址段。 |
|
创建WAF独享引擎实例后,您可以查看实例信息、查看实例的监控信息、升级实例版本以及删除实例。 |
|
您可以在产品信息界面查看WAF产品信息,包括购买的WAF版本、域名规格等信息。 |
