网站接入WAF实例后,您可以按照以下推荐防护模块对已接入的网站进行防护策略配置。
Web基础防护
一般情况下,建议选用“拦截”模式,并选用“正常规则组”防护策略。
防护规则组:可选择宽松规则组、正常规则组、严格规则组。
正常规则组:中等宽松规则组,该规则组综合考虑误报和漏报策略检测情况,选择均衡的规则策略进行匹配,一般情况下,该种策略为默认推荐规则,建议用户选择正常策略。
宽松规则组:该规则组更关注精准攻击拦截度,对于疑似攻击行为的访问请求将会认定为安全从而放行,如需减少误拦截,可选用该规则组。
严格规则组:该规则组关注攻击拦截的覆盖程度,会全面拦截攻击和疑似攻击行为,如需尽可能保证业务的安全性,可选用该规则组。
处置动作:可选择拦截、观察两种动作。
拦截:将会拦截掉所有攻击行为,并产生告警拦截日志。
观察:会放行所有攻击行为,但会产生告警日志。
说明
业务接入WAF防护一段时间后(一般为2~3天),如果出现网站业务的正常请求被WAF误拦截的情况,您可以通过设置自定义规则组的方式提升Web防护效果。相关操作,请参见自定义防护规则组,提升Web攻击防护效果。
CC防护
业务正常运行时,建议采用“常规”防护模式。
由于CC防护的“紧急”防护模式可能产生一定量的误拦截,如果您的业务为App业务或Web API服务,不建议您开启“紧急”防护模式。如果使用CC安全防护的正常模式仍发现误拦截现象,建议您使用“精准访问控制”功能放行特定类型请求。
说明
业务接入WAF防护一段时间后(一般为2-3天),可以通过分析业务日志数据(例如,访问URL、单个IP访问QPS情况等)评估单个IP的请求QPS峰值,提前通过自定义CC防护策略配置限速策略,避免遭受攻击后的被动响应和临时策略配置。
BOT防护
当您的业务经常受到爬虫骚扰或面临数据泄露、被篡改的风险,针对防护需求,建议您为网站开启BOT防护功能。BOT防护设置支持公开类型、自定义会话策略两大类防护策略。
公开类型:云WAF提供已知公开的BOT大类,包括Web爬虫、扫描器、语言库等爬虫类型,用户可以根据自身需求对公开BOT类型设置防护状态及防护动作,WAF将对命中公开类型的BOT请求进行相应处理。
自定义会话策略:提供自定义协议特征、自定义会话特征两类防护策略,每种类型特征包含多个判定维度,用户可以根据实际业务情况设置协议特征规则状态、自定义会话策略,WAF将对命中防护策略的请求进行处理。
精准访问控制
当攻击源IP比较分散时,可以通过分析防护事件日志,使用精准访问控制提供的丰富字段和逻辑条件组合,灵活配置访问控制策略实现精准防护,有效降低误拦截。
支持URL、Cookie、Referer、User、Agent、Params、Header等HTTP常见参数和字段的条件组合。
支持包含、等于、大于等于、小于等于、正则匹配等逻辑条件,设置阻断或放行等策略。
说明
- 当您配置了自定义CC防护,其可能会产生误拦截,建议您通过防护事件日志分析找出攻击特征,配合使用精准访问防护策略实现精准拦截。
- 支持对创建的规则设置失效时间及优先级。
IP黑白名单
您可以将网站业务已有信任的访问客户端(例如,监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等),设置成IP白名单;同时可封禁与业务不相关的IP地址和地址段。
说明
- 支持添加IPv4、IPv6地址,支持添加IP地址段;支持对创建的规则设置失效时间。
- IP黑白名单模块的防护检测逻辑优先级高于其他防护模块,IP黑白名单内部检测逻辑,白名单高于黑名单。
地域访问控制
地域访问控制支持针对地理位置的黑名单封禁,可指定需要封禁的国家、地区,阻断该区域的来源IP的访问。
说明
- 支持封禁境内、境外的地域。
- 支持针对创建的防护规则定义失效时间。
以上配置完成后,建议您进行配置准确性检查和验证测试,检查项包括域名是否填写正确、是否备案、接入配置协议/端口是否与实际一致、WAF前是否有配置其他代理、源站填写的IP是否是真实的服务器IP、回源算法是否与预期一致、证书信息是否准确上传、证书是否合法完整等。
所有的检测测试均通过后,再进行逐个域名修改DNS解析记录,将网站业务流量切换至WAF,避免业务异常。
