更新时间:2024-10-23 GMT+08:00
分享

入门实践

当您将防护网站接入Web应用防火墙(WAF)后,可以根据自身业务场景使用WAF的一系列常用实践。

表1 常用最佳实践

实践

描述

域名接入

未使用代理的网站通过CNAME方式接入WAF

网站没有接入WAF前,DNS直接解析到源站的IP。网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。

本文介绍通过DNS配置模式接入WAF时,如何在已添加网站配置后,配置域名解析,实现业务接入。

使用DDoS高防和WAF提升网站全面防护能力

“DDoS高防+WAF”组合可以对华为云、非华为云或云下的域名进行联动防护,同时防御DDoS攻击和Web应用攻击,确保业务持续可靠运行。

  • 防御DDoS攻击:NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击、HTTP Get Flood攻击等。
  • 防御Web应用攻击:SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等。

使用CDN和WAF提升网站防护能力和访问速度

“CDN+WAF”组合可以对华为云、非华为云或云下的域名进行联动防护,同时提升网站的响应速度和网站防护能力。

使用独享WAF和7层ELB以防护任意非标端口

如果您需要防护WAF支持的端口以外的非标端口,可参考本章节配置WAF的独享模式和7层ELB联动,实现任意端口业务的防护。

CDN回源OBS桶场景下连接WAF提升OBS安全防护

当您的网站域名开启了华为云CDN加速,且回源到华为云对象存储 OBS(Object Storage Service,OBS)时,如果该网站存在一定的Web攻击风险,我们推荐您组合使用CDN、OBS和Web 应用防火墙 WAF(Web Application Firewall),将开启CDN加速的域名接入WAF,实现OBS的安全防护。本文介绍如何为业务同时部署CDN、OBS、WAF。

使用WAF、ELB和NAT网关防护云下业务

WAF云模式-ELB接入默认只支持云上业务,当您的源站服务器在云下时,需要通过NAT网关进行流量转发,将您的流量由华为云内网回源到源站的公网IP,再通过云模式-ELB接入方式将网站接入WAF,实现流量检测。

策略配置

网站防护配置建议

从不同场景、角色的视角介绍Web应用防火墙(Web Application Firewall,简称WAF)的防护规则,帮助您从自己最关心的需求入手,了解WAF的防护逻辑。

使用WAF防护CC攻击

基于Web应用防火墙实践编写,指导您在遭遇CC(Challenge Collapsar)攻击时,完成基于IP限速和基于Cookie字段识别的防护规则配置。

使用WAF阻止爬虫攻击

Web应用防火墙可以通过Robot检测(识别User-Agent)、网站反爬虫(检查浏览器合法性)和CC攻击防护(限制访问频率)三种反爬虫策略,帮您解决业务网站遭受的爬虫问题。

使用Postman工具模拟业务验证全局白名单规则

当防护网站成功接入WAF后,您可以使用接口测试工具模拟用户发起各类HTTP(S)请求,验证配置的WAF防护规则是否生效,检验防护效果。

本实践以Postman工具为例,说明如何验证全局白名单(原误报屏蔽)规则。

通过WAF和HSS提升网页防篡改能力

主机安全HSS网页防篡改功能和Web应用防火墙“双剑合璧”,杜绝网页篡改事件发生。

LTS日志分析

通过LTS查询并分析WAF访问日志

开启WAF全量日志功能后,您可以将攻击日志、访问日志记录到云日志服务(Log Tank Service,简称LTS)中。通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

通过LTS分析Spring core RCE漏洞的拦截情况

对WAF攻击日志开启LTS快速分析功能,通过Spring规则ID快速查询、分析被拦截的Spring core RCE漏洞日志。

通过LTS配置WAF规则的拦截告警

本实践对WAF攻击日志开启LTS快速分析功能,再配置告警规则,实现WAF规则拦截日志的分析及告警,实时洞察您的业务在WAF中的防护情况并做出决策分析。

TLS加密配置

通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全

HTTPS协议是由“TLS(Transport Layer Security,传输层安全性协议)+HTTP协议”构建的可进行加密传输、身份认证的网络协议。

域名接入WAF时,如果客户端采用HTTPS协议请求访问服务器(即防护域名的“对外协议”配置为“HTTPS”),您可以通过为域名配置最低TLS版本和加密套件来确保网站安全。

源站安全保护实践

通过WAF提升客户端访问域名的通道安全

HTTPS协议是由TLS(Transport Layer Security,传输层安全性协议)+HTTP协议构建的可进行加密传输、身份认证的网络协议。当域名接入WAF时,如果客户端采用HTTPS协议请求访问服务器,即防护域名的“对外协议”配置为“HTTPS”时,您可以通过为域名配置最低TLS版本和加密套件来确保网站安全。

通过ECS/ELB访问控制策略保护源站安全

介绍源站服务器部署在华为云弹性云服务器(以下简称ECS)、或华为云弹性负载均衡(以下简称ELB)时:

  • 如何判断源站是否存在泄漏风险?
  • 如何配置访问控制策略保护源站安全?

获取客户端真实IP

获取客户端真实IP

介绍通过WAF直接获取真实IP的方法,以及不同类型的Web应用服务器(包括Tomcat、Apache、Nginx、IIS 6和IIS 7)如何进行相关设置,以获取客户端的真实IP。

通过CES配置WAF指标异常告警

通过CES配置WAF指标异常告警

介绍如何在华为云云监控服务(CES)对WAF指标配置异常告警,当Web应用防火墙(WAF)的监控指标出现异常情况,及时了解WAF防护状况,从而起到预警作用。

相关文档