首次接入 Web 应用防火墙,需要了解防护策略的差别、配置顺序以及配置方法等。例如,您可能不知道新接入的业务应该配置哪些基础防护策略,以及如何配置这些策略使您的业务防护效果最佳。本文主要介绍首次接入 Web 应用防火墙之后的基础配置,您可以根据具体场景判断是否需要配置相关策略。
配置漏洞防护策略
WAF 提供漏洞防护管理的规则集,支持常见公开漏洞和暴露(CVE)和 OWASP Top 10 的漏洞。分为常规检测、逻辑漏洞和 Web 后门三种防护类型,每种防护类型对应不同的漏洞检测规则,具体说明如下。
- 常规检测:对常见的 SQL 注入、命令注入、表达式注入、XPath 注入、LDAP 注入、任意文件读/目录遍历、LFI、SSTI、SSRF、XSS 等漏洞攻击检测及防护。
- 逻辑漏洞:对部分中间件存在越权、表单绕过漏洞进行检测与拦截。
- Web 后门:通过对以 asp、php、jsp 或者 cgi 等网页文件形式存在的 Web 命令进行检测,拦截网页木马。
您可以选择不同的防护级别,以适配不同场景的攻击防护需求。防护级别越严格,则检测规则越复杂,涵盖的检测范围越大。
操作步骤
- 登录 Web 应用防火墙控制台。
- 在顶部菜单栏选择实例所属地域。
- 在左侧导航选择防护策略>漏洞防护。
- 开启待防护域名的漏洞防护功能。
- 选择待防护域名。
说明
确认当前域名防护模式为“启用防护”,否则需要更改防护模式。
- 开启漏洞防护开关,开启后漏洞防护配置才会生效。
- 选择防护模式为正常。
说明
正常模式包含某类攻击的通用检测规则或误报较少的规则,包括所有规则等级为宽松和正常的规则。适用于一般防护场景。
- 设置防护动作为拦截。
检测到的所有攻击请求将直接被拦截,请求行为上报至攻击日志。
- 选择待防护域名。
配置结果
开启漏洞防护检测后,WAF 会根据预置的检测规则自动检测可能存在漏洞威胁的请求。例如,通过识别请求中的恶意 SQL 代码,拦截 SQL 注入攻击;或是通过识别请求中携带的恶意 JavaScript 代码,拦截跨站脚本攻击(XSS)等。
拦截的请求详情可在攻击详情或者日志管理页面查看。
配置 CC 防护策略
CC 防护策略可防止您的服务器资源被过度占用,确保正常访问业务不受影响。WAF 提供自定义和智能防护两种模式,两种模式同时开启时,系统先匹配自定义防护规则,再根据智能防护策略动态调整。
- CC 自定义防护:支持基于业务情况,灵活自定义白流量请求特征。可根据网络访问 IP、Session 等各种 HTTP 请求对象进行请求限制,缓解 CC 攻击对服务器的影响。
- CC 智能防护(仅面向高级版及以上版本开放且限时免费):WAF 通过自主业务流量基线学习形成资产画像,为资产输出定制化智能防护策略,同时持续分析流量基线,根据业务情况动态调整防护策略。开启 CC 智能防护功能后,WAF 将在监控到请求流量后启动业务流量基线学习。初次学习周期约为 7 天,完成学习后将推送、启用智能防护规则,并持续更新规则。
注意事项
- CC 智能防护功能处于限时免费阶段,当前仅面向高级版及以上规格开放。
- 两种防护模式的生效顺序:优先匹配自定义防护规则,再根据智能防护策略动态调整。
配置自定义策略
自定义 CC 防护策略是基于请求路径,结合自定义统计对象在一定时间内的访问次数,对访问请求执行对应动作。
说明
如果您暂时无法明确具体路径的访问次数阈值设置为多少,可以先配置一条面向全路径的 CC 防护策略,将该次数阈值设置为略低于源站的 QPS 承受能力上限。观察是否存在攻击行为或者流量激增现象。
操作步骤
登录 Web 应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略>CC 防护。
开启待防护域名的 CC 防护功能。
- 选择待防护域名。
说明
确认当前域名防护模式为“启用防护”,否则需要更改防护模式。
- 开启 CC 自定义防护开关。
- 选择待防护域名。
单击添加规则,配置相关参数。
- 请求路径:/*
- 统计对象:源 IP
- 阈值设置:永久生效,每对象访问超 1000 次,且请求路径访问超 1000 次
说明
建议将该次数阈值设置为略低于源站的 QPS 承受能力上限。
- 执行动作:观察
- 优先级:P0
- 规则开关:开启
后续操作
观察防护概览数据和流量日志,如果存在误报事件,建议提高次数阈值,以放行合法流量。
配置智能防护策略
CC 智能防护策略初次的学习周期约为 7 天,完成学习后将推送、启用智能防护规则,并持续更新规则。因此,建议在接入 WAF 服务后尽早开启 CC 智能防护功能,以便系统可以更快完成学习,提供智能防护。
操作步骤
- 登录 Web 应用防火墙控制台。
- 在顶部菜单栏选择实例所属地域。
- 在左侧导航选择防护策略 CC 防护。
- 开启待防护域名的 CC 防护功能。
- 选择待防护域名。
说明
确认当前域名防护模式为“启用防护”,否则需要更改防护模式。
- 开启 CC 智能防护开关。
- 设置模式为托管模式-正常,动作为智能托管。
- 选择待防护域名。
后续操作
根据业务状态和防护效果调整参数设置。
- 如果您的业务正处于攻击状态,建议及时调整模式为紧急模式。
- 如果当前的智能防护效果不能有效阻挡攻击,建议将防护阈值区间设置为较严格。
配置 Bot 管理策略
说明
当发现业务存在黑灰产对抗,或者面临爬虫、恶意注册行为时,需要开启此部分功能。
Bot 管理帮助您策略监控或限制常见自动化工具的流量,例如搜索引擎、测速工具、内容聚合、扫描工具等,支持使用托管 Bot 管理规则或自定义 Bot 管理规则。您还可以配置频率限制和统计防护规则,以防止满足统计特征的恶意访问行为。在基础策略配置中,您可以启用托管 Bot 分类规则,按照系统默认的 Bot 类型设置执行动作和规则开关,实现对不同 Bot 的流量管控。
注意事项
Bot 管理功能当前仅面向高级版及以上规格开放。
操作步骤
- 登录Web 应用防火墙控制台。
- 在顶部菜单栏选择实例所属地域。
- 在左侧导航选择防护策略>Bot 管理。
- 开启待防护域名的托管 Bot 分类规则功能。
- 选择待防护域名。
说明
确认当前域名防护模式为“启用防护”,否则需要更改防护模式。
- 开启托管 Bot 分类规则开关。
- 选择待防护域名。
- 开启所有 Bot 检测规则开关,并将执行动作设置为观察。
后续操作
您可以前往安全概览>攻击概览>Bot 防护,查看特定事件内的攻击检测数据(攻击来源和被攻击域名),判断是否存在误报。如果检测结果符合预期,建议将托管 Bot 规则执行动作修改为拦截,以拦截非法请求。
配置 API 防护策略
说明
当需要对网站的全部 API 进行整体的管理、监控和防护时,可以利用此规则对网站的 API 进行整体的管理和防护。
API 防护策略是指 WAF 能根据设定的 API 格式和参数,对请求 API 流量进行检查,以过滤和拦截满足规则的非法 API 请求。您可以通过人工登记的方式,设置针对特定 API 路径和请求方法的 API 防护策略,也可以使用 API 自动发现功能,自动记录存在风险的 API 请求行为。
注意事项
API 防护自动发现功能处于限时免费阶段,当前仅面向企业版及以上规格开放。
操作步骤
- 登录 Web 应用防火墙控制台。
- 在顶部菜单栏选择实例所属地域。
- 在左侧导航选择防护策略>API 防护。
- 开启自动发现功能。
- 选择待防护域名。
说明
确认当前域名防护模式为“启用防护”,否则需要更改防护模式。
- 开启 API 防护开关。
- 设置未登记 API 执行动作为不检查。
说明
未登记 API 是指既没有通过人工方式添加,也不再 API 自动发现列表中的 API 请求。配置后,这类请求的流量将被直接放行,将请求行为上报至访问日志。
- 设置 AI 防护(自动发现)为已开启。
说明
开启后,如果 WAF 发现了存在风险的 API 请求,会自动生成一条执行动作为“观察”的 API 规则,该规则的状态为“已发现”。
- 选择待防护域名。
配置日志参数
平台支持为 WAF 上已添加的防护资源采集 Web 攻击及访问日志数据,并基于火山引擎日志服务提供检索分析、监控告警、数据可视化等功能,帮助您快速了解 Web 请求业务的状态和防护效果,以便及时处理异常。
说明
建议将所有防护域名都加入到日志采集范围内,避免因日志数据采集不完整,而导致域名暴露在攻击风险中。
登录Web 应用防火墙控制台。
在顶栏选择实例所属地域。
在左侧导航选择日志管理,进入日志管理页面。
单击页面右上角日志设置,进入日志参数设置页面。
配置或确认日志参数。
- 开启日志容量告警,告警阈值和间隔可保持默认值即可。
当使用量达到设定值时,平台会推送告警通知。 - 存储时长建议设置为 180 天。
说明
为满足安全等保合规要求,建议设置日志存储时长为 180 天。
- 当日志存储时长超出 180 天,日志服务会按照时间先后顺序清理历史数据。
- 如果您的日志容量在 180 天前用完,则无法继续存储日志。
- 在域名采集范围列表中,勾选全部域名。
- 开启日志容量告警,告警阈值和间隔可保持默认值即可。
单击确定。
配置其他防护策略
其他类型的防护策略,例如访问管控、地理位置访问管控等,可按需配置。详情请参考防护策略类型。