配置Web基础防护规则防御常见Web攻击
Web基础防护开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。您还可以根据实际使用需求,开启Webshell检测等Web基础防护。
前提条件
已添加防护网站,详情操作请参见添加防护网站 。
约束条件
- Web基础防护支持“拦截”和“仅记录”模式。
- 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
- 当Web基础防护设置为“拦截”模式时,您可以配置攻击惩罚标准。配置攻击惩罚后,如果访问者的IP、Cookie或Params恶意请求被拦截时,边缘安全将根据攻击惩罚设置的拦截时长来封禁访问者。
操作步骤
- 登录管理控制台。
- 单击页面左上方的,选择 。
- 在左侧导航栏选择“安全防护”的“域名接入”页面。 ,进入
- 在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”,进入“防护策略”页面。
图1 网站列表
- 在“Web基础防护”配置框中,用户可根据自己的需要参照表1更改Web基础防护的“状态”和“模式”。
图2 Web基础防护配置框
- 在“Web基础防护”配置框中,单击“高级设置”,进入“Web基础防护”界面。
- 在“防护配置”页签,根据您的业务场景,开启合适的防护功能,检测项说明如表3所示。
图3 Web基础防护
当“模式”设置为“拦截”时,您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作,请参见配置攻击惩罚标准。
- 防护等级设置。
在页面右上角,选择防护等级,Web基础防护设置了三种防护等级:“宽松”、“中等”、“严格”,默认情况下,选择“中等”。
表2 防护等级说明 防护等级
说明
宽松
防护粒度较粗,只拦截攻击特征比较明显的请求。
当误报情况较多的场景下,建议选择“宽松”模式。
中等
默认为“中等”防护模式,满足大多数场景下的Web防护需求。
严格
防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求,例如jolokia网络攻击、探测CGI漏洞、探测 Druid SQL注入攻击。
建议您等待业务运行一段时间后,根据防护效果配置全局白名单规则,再开启“严格”模式。
- 防护检测类型设置。
默认开启“常规检测”防护检测,用户可根据业务需要,参照表3开启其他需要防护的检测类型。
- 防护等级设置。
配置示例-拦截SQL注入攻击
假如防护域名“www.example.com”已接入边缘安全,您可以参照以下操作步骤验证是否拦截SQL注入攻击。
- 开启Web基础防护的“常规检测”,并将防护模式设置为“拦截”。
图4 开启“常规检测”
- 开启Web基础防护。
图5 开启Web基础防护
- 清理浏览器缓存,在浏览器中输入模拟SQL注入攻击(例如,http://www.example.com?id=' or 1=1)。
此时访问请求被拦截,拦截页面示例如图6 拦截攻击请求所示。
- 返回边缘安全管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。