防护配置概述
网站接入WAF后,默认生成一个关联防护域名的防护策略,您可以根据业务需要,在该防护策略中配置防护规则。您也可以单独添加防护策略并关联防护域名后,配置防护规则,实现WAF安全防护。
介绍视频
通过视频介绍WAF的核心防御能力和高阶防御能力。
防护检测原理
WAF引擎会根据已配置的不同条件的防护规则,按照检测流程,对HTTP/HTTPS请求进行检测,并按照配置的防护动作进行处置。相同条件的防护规则仅支持配置一个防护动作,因此,WAF防护检测顺序仅与防护规则类型有关,与配置的防护动作无关。
- pass(放行):命中规则后无条件放行当前请求。
- block(拦截):命中规则后拦截当前请求。
防护动作配置为拦截时,支持配置攻击惩罚标准。配置攻击惩罚后,如果访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。
- captcha(人机验证):命中规则后执行人机验证动作。
- redirect(重定向):命中规则后通知客户端执行重定向动作。
- log(仅记录):命中规则后仅记录攻击信息。
- mask(脱敏):命中规则后对相关敏感信息进行脱敏处理。
防护规则概览
网站接入WAF后,WAF会自动为该网站绑定一个防护策略,并开启“Web基础防护”规则中的“常规检测”(拦截模式为“仅记录”,“防护等级”为“中等”)和“网站反爬虫”规则的“扫描器”检测(防护动作为“仅记录”)。
如果您的网站遭遇Web攻击,您可以根据“防护事件”攻击详情,配置对应的防护规则。WAF支持的防护规则,按检测先后顺序排列如表1所示。
您可以在“防护策略”页面,单击目标防护策略,勾选“按检测顺序排序”,所有的防护规则将按WAF的检测顺序重新排序。
|
防护规则 |
说明 |
参考文档 |
|---|---|---|
|
全局白名单规则 |
针对特定请求忽略某些攻击检测规则,用于处理误报事件。 |
|
|
黑白名单规则 |
配置黑白名单规则,阻断、仅记录或放行指定IP的访问请求,即设置IP黑/白名单。 |
|
|
地理位置访问控制规则 |
针对指定国家、地区的来源IP自定义访问控制。 |
|
|
威胁情报访问控制规则 |
基于互联网数据中心(Internet Data Center, 简称IDC)机房的IP库进行访问控制。 |
|
|
精准访问防护规则 |
精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合,定制化防护策略,为您的网站带来更精准的防护。 |
|
|
扫描防护规则 |
扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,自动阻断高频Web攻击、高频目录遍历攻击,并封禁攻击源IP一段时间,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。 |
|
|
BOT管理规则 |
支持已知BOT检测、请求特征检测、BOT行为检测。通过层层检测,精准识别并管理网站流量中的机器行为,有效降低网站由于遭受BOT攻击,而导致的数据泄露、性能降低等风险。 |
|
|
网站反爬虫规则 |
动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为。 |
|
|
CC攻击防护规则 |
可以自定义CC防护规则,限制单个IP/Cookie/Referer访问者对您的网站上特定路径(URL)的访问频率,WAF会根据您配置的规则,精准识别CC攻击以及有效缓解CC攻击。 |
|
|
Web基础防护 |
防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。您还可以根据实际使用需求,开启Webshell检测、深度反逃逸检测和header全检测等Web基础防护。 |
|
|
网页防篡改规则 |
当用户需要防护静态页面被篡改时,可配置网页防篡改规则。 |
|
|
防敏感信息泄露规则 |
该规则可添加两种类型的防敏感信息泄露规则:
|
|
|
隐私屏蔽规则 |
隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。 |
|
|
大模型检测 |
WAF大模型检测支持通过提示词验证、响应合规检测,识别并过滤不良或违规内容后,确保大模型输入和输出内容安全、稳定、可用、合规。 |
防护配置流程
网站接入WAF后,您可以参照如下流程,进行防护配置。
- (可选)新增防护策略。如果直接在默认生成的防护策略中,配置防护规则,可跳过1、2。
- (可选)添加策略适用的防护域名。
- 配置防护规则。您可以在防护策略中,开启并配置具体防护规则。
