防护配置概述
网站接入WAF后,默认生成一套关联防护域名的防护策略,您可以根据业务需要,在该防护策略中配置防护规则。您也可以单独添加防护策略并关联防护域名后,配置防护规则,实现WAF安全防护。
介绍视频
通过视频介绍WAF的核心防御能力和高阶防御能力。
防护检测原理
WAF引擎会根据防护策略中配置的不同条件的防护规则,按照检测流程,对HTTP/HTTPS请求进行检测,并根据配置的防护动作进行处置。
WAF引擎会按照检测流程,按配置对用户请求信息、源站服务器返回的响应信息进行检测,并对WAF日志信息按配置进行脱敏保存。
WAF引擎检测流程、流程中各阶段要执行检测的防护规则的先后顺序,如图1所示。
检测流程各阶段说明如下:
- 解析阶段:WAF通过解析客户端原始HTTP或HTTPS请求报文,获取请求头、请求行、请求体等相关信息,并根据请求报文,确认转发策略。
- 请求检测阶段:
- WAF根据请求信息,获取用户配置的防护规则。
- 解析用户请求内容,例如源IP、域名、请求长度等。
- 根据已配置的防护规则,按防护规则检测顺序(如图1所示),检测请求内容。如果该请求命中防护规则设置的条件,则按照防护动作,处置对应请求。
- 响应检测阶段:
- 解析服务器响应内容。
- 根据已配置的防护规则,按防护规则检测顺序(如图1所示),检测响应内容。如果该响应命中防护规则设置的条件,则按照防护动作,处置对应响应。
- 日志记录阶段:WAF根据配置的隐私屏蔽规则,处理WAF日志信息,避免用户账号、密码等信息等敏感信息出现在日志中。
防护动作是指WAF在检测到请求命中防护规则设置的过滤条件时,采取的一系列措施。相同条件的防护规则仅支持配置一个防护动作。
WAF支持配置如下防护动作:
- 仅记录
WAF检测到请求命中防护规则设置的条件时,不会采取任何行动,只是将这些活动记录下来,用于安全团队后续分析和审查。
网站接入WAF后,WAF默认开启开启“Web基础防护”中的“常规检测”和“网站反爬虫”的“扫描器”检测,“防护动作”均配置为“仅记录”。如果您对自己的业务流量特征还不完全清楚,建议先保持仅记录模式进行观察,然后分析该模式下的攻击日志,配置有针对性的防护规则。
- 拦截
WAF检测到请求命中防护规则设置的条件时,拦截当前请求,并停止后续规则的检测。
防护动作配置为拦截时,可设置攻击惩罚规则,对访问者的IP、Cookie或Params的长时间拦截规则、短时间拦截规则,使得WAF自动封禁访问者。
- 放行
WAF检测到请求命中防护规则设置的条件时,放行当前请求,并停止后续规则的检测。
如果用户实际业务场景较为复杂,需配置多种类型的防护规则时,需对所有防护规则进行综合判断,避免因当前规则配置的放行防护动作,从而导致后续规则检测失效。后续规则检测失效。配置示例请参考多种类型防护规则应用示例。
- JS挑战
WAF检测到请求命中防护规则设置的条件时,会向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码,则WAF在Token有效期内放行该客户端的所有请求(不需要重复验证),否则拦截请求。
- 动态拦截
在CC攻击防护规则中,如果在一个限速周期内,访问超过“限速频率”触发了拦截,那么,在下一个限速周期内,WAF会根据“放行频率”进行拦截。
例如,“限速频率”为每60秒允许10次访问,“放行频率”为每60秒允许5次访问时,表示前60秒内,访问次数超过10次后,访问被拦截,在下一个60秒时,访问次数超过5次,就会被拦截。
- 人机验证
在CC攻击防护规则中,如果访问超过“限速频率”,就会弹出验证码,进行人机验证。完成验证后,请求将不受限制。如果验证未通过,会按照“锁定时间”,限制访问。
防护规则概览
WAF支持的防护规则如表1所示。
|
防护规则 |
说明 |
参考文档 |
|---|---|---|
|
全局白名单规则 |
针对特定请求忽略某些攻击检测规则,用于处理误报事件。 |
|
|
黑白名单规则 |
配置黑白名单规则,阻断、仅记录或放行指定IP的访问请求,即设置IP黑/白名单。 |
|
|
地理位置访问控制规则 |
针对指定国家、地区的来源IP自定义访问控制。 |
|
|
威胁情报访问控制规则 |
基于互联网数据中心(Internet Data Center, 简称IDC)机房的IP库进行访问控制。 |
|
|
精准访问防护规则 |
精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合,定制化防护策略,为您的网站带来更精准的防护。 |
|
|
扫描防护规则 |
扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,自动阻断高频Web攻击、高频目录遍历攻击,并封禁攻击源IP一段时间,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。 |
|
|
BOT管理规则 |
支持已知BOT检测、请求特征检测、BOT行为检测。通过层层检测,精准识别并管理网站流量中的机器行为,有效降低网站由于遭受BOT攻击,而导致的数据泄露、性能降低等风险。 |
|
|
网站反爬虫规则 |
动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为。 |
|
|
CC攻击防护规则 |
可以自定义CC防护规则,限制单个IP/Cookie/Referer访问者对您的网站上特定路径(URL)的访问频率,WAF会根据您配置的规则,精准识别CC攻击以及有效缓解CC攻击。 |
|
|
Web基础防护 |
防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。您还可以根据实际使用需求,开启Webshell检测、深度反逃逸检测和header全检测等Web基础防护。 |
|
|
网页防篡改规则 |
当用户需要防护静态页面被篡改时,可配置网页防篡改规则。 |
|
|
防敏感信息泄露规则 |
该规则可添加两种类型的防敏感信息泄露规则:
|
|
|
隐私屏蔽规则 |
隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。 |
防护配置流程
网站接入WAF后,您可以参照如下流程,进行防护配置。
- (可选)新增防护策略。如果直接在默认生成的防护策略中,配置防护规则,可跳过1、2。
- (可选)添加策略适用的防护域名:即绑定防护策略的生效对象。
- 配置防护规则。您可以在防护策略中,开启并配置具体防护规则。
