You need to enable JavaScript to run this app.
导航
全站加速
  • 文档首页
    • /全站加速/用户指南/安全防护/防护配置/Web漏洞防护
Web漏洞防护
最近更新时间:2024.10.21 17:58:38首次发布时间:2022.06.29 14:07:21
我的收藏

全站加速 Web 漏洞防护通过边缘节点识别恶意流量,能够对常见的 Web 应用攻击,如 SQL注入、XSS攻击、命令注入、网页挂马等进行检测和防护,将正常的访问流量分发到服务器。同时可以检测指定请求、字段,保障业务的数据安全。

开启Web漏洞防护

前提条件

您已开通 DCDN 安全防护服务,并已开通 Web 漏洞防护服务。开通过程详见功能概述

操作步骤

  1. 登录火山引擎全站加速控制台后,在控制台页面左侧点击 安全防护 ,在下拉菜单中点击 防护配置
  2. 防护配置 页面,点击 添加域名 ,在 域名防护接入 标签页左侧 全部域名 下,选择待配置的加速域名。
  3. 选择待配置的加速域名后,在 已选域名 下确认信息无误后,点击 确定
  4. 点击刚刚开启防护的域名,在 Web漏洞防护 标签页,开启 Web漏洞防护 。开启Web漏洞防护后,基础配置默认开启,托管防护等级为 正常 ,模式为 拦截
    Image

基础配置

您可根据实际业务需求,修改Web漏洞防护的基础配置,包括防护等级、防护模式、防护类型,具体字段说明如下:

字段

说明

托管防护

  • 全站加速Web漏洞防护提供了三种托管防护等级,分为宽松、正常、严格。不同托管防护等级覆盖的检测规则范围不同。您也可以在提供的漏洞防护规则范围内,自定义启用不同的漏洞防护规则。
  • 选择托管防护等级,则默认启用对应防护等级下的所有预置防护规则。规则数量覆盖面:严格>正常>宽松。
    • 严格:包含对复杂攻击请求的检测规则,覆盖最多的漏洞防护规则,包含防护等级为正常和宽松的规则。
    • 正常:对某类攻击的通用检测或误报较少的规则,包含防护等级为宽松的规则。默认为正常防护等级。
    • 宽松:适用于防护攻击特征较为明显的请求,或是希望减少误报的场景。

自定义防护

全站加速支持在当前内置的漏洞检测规则范围内,自定义开启或关闭对应的规则。

模式

  • 拦截:系统对漏洞攻击行为进行拦截。
  • 观察:系统对漏洞攻击行为仅观察不拦截。

防护类型

常规检测

对常见的SQL注入、命令注入、表达式注入、XPath注入、LDAP注入、任意文件读&目录遍历、LFI、SSTI、SSRF、XSS等漏洞攻击检测及防护。

Web后门

通过对以 asp、php、jsp 或者 cgi 等网页文件形式存在的 Web 命令进行检测,拦截网页木马。

逻辑漏洞

对部分中间件存在越权、表单绕过漏洞进行检测与拦截。

操作步骤

  1. 配置漏洞防护等级。
    • 选择托管防护
      1. 根据网站业务场景及攻击现状选择严格、正常或者宽松并确定。默认为正常
      2. 单击 查看规则 可预先查看该防护等级对应的所有防护规则。
        Image
        支持按防护类型、风险等级筛选。支持按照规则名称、规则 ID 和 CVE ID 来搜索规则。
    • 选择自定义防护
      1. 选择自定义并确定。
      2. 单击配置规则,自定义需要开启的规则。
        Image
        支持按防护类型、规则等级和风险等级筛选。支持按照规则名称、规则 ID 和 CVE ID 搜索规则。

        说明

        通过筛选不同的规则等级,可以查看不同托管防护模式对应的规则详情,您也可以基于已有防护等级规则组快速设置自定义漏洞防护规则。

      3. 启用单条规则,或是勾选多条规则后单击批量开启,然后单击确定

      说明

      漏洞防护规则仅在单击确定后才会生效。

  2. 选择防护动作。
    • 观察:放行请求流量,但会将请求行为上报至攻击日志。
    • 拦截:拦截请求流量,将请求行为上报至攻击日志。如果配置了自定义拦截响应页面,全站加速会将配置的拦截响应页面信息返回给客户端。
  3. (可选)查看不同防护类型对应的规则详情。
    • 查看防护类型:单击①可以展开防护类型查看防护类型的二级分类。
    • 查看规则详情:单击②可进入漏洞规则列表页面,查看该攻击类型下启用的全部规则信息。支持通过防护类型和风险等级进行规则筛选,您也可以按规则名称、规则 ID 和 CVE ID 检索目标规则信息。
      Image

请求加白

您可根据实际业务需求,将特定的访问请求设置为白名单规则,白名单规则不会送入Web漏洞检测引擎。点击 添加规则 ,参考下表配置具体字段,确认信息无误后点击 确定 完成请求加白。

字段

解释说明

规则名称

  • 请您填写本条白名单规则的名称。
  • 支持中英文、数字、下划线,不支持特殊字符,长度限制在20个字符。

请求路径

请您填写网站路径,填写需要匹配 CC 规则的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。具体规则如下:

  • 若填写具体页面 URL 地址,如针对http://test.com/test.html页面生效,则填写 /test.html 。
  • 若填写整个网站,则填写 / 。
  • 支持填写多条网站路径,用英文逗号分隔开。

规则开关

开启或关闭本条规则。

  • 选择 开启 ,点击 确定 后,本规则自动开启。
  • 选择 关闭 ,点击 确定 后,保留配置规则信息,不开启本条规则。

高级条件

匹配条件

AND:添加的多条高级条件同时监测到才匹配成功。
OR:添加的多条高级条件有一条监测到便匹配成功。

匹配字段

请您设置此条匹配条件的具体字段,具体包括:请求协议、请求uri、请求方法、请求路径、请求参数、请求头、请求ua、请求refer、请求cookie、请求体长度、请求体格式、x-forwarded-for、客户端ip、自定义args、自定义header、自定义cookie。

逻辑符

下拉列表框中选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于、包含子串、不包含子串、包含前缀、不包含前缀、包含后缀、不包含后缀、包含关系、非包含关系、属于关系、非属于关系、正则

匹配内容

请您填写该条规则需要匹配的内容。

操作

删除:删除单条高级条件规则。

字段加白

您可根据实际业务需求,为特定的字段设置白名单,白名单字段不会送入Web漏洞检测引擎。点击 添加规则 ,参考下表配置具体字段,完成后点击 确定

字段

解释说明

规则名称

  • 请您填写本条防护规则的名称。
  • 支持中英文、数字、下划线,不支持特殊字符,长度限制在20个字符。

加白区域

请您根据业务需要设定加白区域,可选请求 Query-Arg、请求 Cookie、请求 Header、请求 Body、请求 PATH。

加白字段

请您填写加白区域中需要添加白名单的具体字段。

规则开关

开启或关闭本条规则。

  • 选择 开启 ,点击 确定 后,本规则自动开启。
  • 选择 关闭 ,点击 确定 后,保留配置规则信息,不开启本条规则。