前提条件
您已经完成添加服务域名,如果您未添加,请参考添加服务域名。
操作步骤
1.登录边缘安全加速控制台,选择【安全能力】-【Web应用防火墙】,在域名列表中选中需要配置防护策略的域名。
Web防护能力概览
模块 防护能力 说明 应用场景 web防护 设置规则防护 目前已维护6套防护规则集,基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护,能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 设置网页防篡改 位于高级防护模块下,能够保护网站核心静态页面,避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 设置敏感词防护 位于高级防护模块下,支持对网站返回的内容进行脱敏展示,过滤内容包括敏感信息(如身份证、手机号、银行卡、邮箱等) 希望网站避免泄露身份证、手机号等敏感信息时配置 设置合规检测策略 支持检查HTTP协议头部,对HTTP请求信息中的方法以及参数长度等信息进行检测,对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 设置Cookie防护 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名,防护一些使用Cookie中的弱key进行权限绕过的漏洞利用,也能在一定程度上限制基于Cookie修改的爬虫 可以防护Cookie盗用、Cookie篡改、Cookie信息泄露等攻击事件。需要客户端支持携带Cookie,通常小程序、APP、API可能不支持 设置攻击挑战 支持自动阻断短时间内发起多次Web攻击的IP,快速应对恶意扫描及代理、Web 攻击威胁等行为,可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 设置CSRF防护 支持防护跨站请求伪造(英语:Cross-site request forgery,简称CSRF)攻击 针对发起CSRF攻击进行防护 设置广告防护 支持解析源站响应页面代码,在body中插入广告检测js代码,实现广告防护和监测功能 针对网站出现的恶意广告(网站中出现未被网站所有者允许的广告内容)进行防护 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护,保障用户的账户安全 针对账户安全的场景进行防护
注意注意:目前控制台尚未开放CSRF防护、广告防护以及账户安全防护功能,如有防护需求请通过提交工单给天翼云客服,由其人工操作开启。
页面说明
防护域名
为您展示接入安全与加速服务的域名,并支持查看域名的Web应用防护状态以及域名配置状态。点击防护域名数统计区域,可筛选域名列表已防护或未防护的域名,您也可以通过下方查询框对域名进行其他条件的筛选。
点击右上角【新增域名】可进入域名新增页面,点击支持收起域名列表。
注意当域名为配置中、已停用状态,不支持编辑防护配置。
基础信息
为您展示当前域名的基础信息,有CNAME、加速区域、产品类型、套餐版本、创建时间,并支持对域名进行基础配置。基础配置的功能介绍参见:基础配置。
防护能力
支持提供Web应用安全防护能力。
-
Web防护开关。为Web应用防火墙的防护总开关,当此开关为开启时,本模块的防护能力才生效。
-
无需检测的静态文件。输入框中支持输入无需检测的文件后缀,多个用英文;分隔,输入并提交保存后,将不对这些文件类型进行检测。默认值:css;js;pjpeg;flv;mp4;mp3;wmv;wma;avi;apk;rpm;deb;bin;ogg;mpg;mpeg;f4v;rm;3gp;img;cur;jpe;ico;msi;cab;pdf;aac;swc;doc;docx;xls;xlsx;ppt;pptx;rmvb;ipa;sis;xap;m3u8;ts;gif;jpg;jpeg;swf;png;bmp
-
基础安全防护。安全与加速服务提供的基础安全防护模块。
-
高级安全防护。安全与加速服务提供的高级安全防护模块。