功能介绍
Web防护可以根据用户实际配置的条件,检查HTTP协议头部,对HTTP请求信息中的方法以及参数长度等信息进行检测,对不符合的请求项进行拦截或告警。
检测范围
- 请求方法检测:只允许指定请求方法访问网站
- 请求协议检测:只允许指定协议版本访问网站
- 请求头部缺失检测:请求缺少指定头部禁止访问网站
- 数据重复检测:针对头部重复,参数重复进行拦截,禁止访问网站
- 请求数据长度限制:针对请求URL,头部参数进行长度限制,禁止访问网站
前提条件
- 已开通Web应用防火墙(边缘云版)
- 已新增域名并成功接入WAF,具体操作请见WAF接入
- 开通体验版及以上版本支持使用合规检测功能
操作步骤
- 登录Web应用防火墙(边缘云版)控制台
- 登录Web应用防火墙(边缘云版)控制台,在左侧导航栏中选择【域名管理】—【域名列表】,单击域名列表操作【安全防护】
- 进入“合规检测”页面,可以配置合规检测策略;
注意:域名新增时,会有一条全站合规检测的默认策略,可以通过【防护开关】来开启或者关闭,客户也可以自定义合规检测规则
配置说明
配置项 说明 规则名称 设置规则名称 防护模式 设置该规则的防护模式,支持设置关闭、开启。 规则描述 设置规则描述 防护范围 设置需要防护的请求范围,可选择粒度有URI、PATH,支持输入字符串,比如PATH包含字符串/ 允许HTTP请求方法 1、设置允许的请求方法(PUT、DELETE、POST、GET、其它),支持多选
2、非法处理动作:即当请求非允许的请求方法时,将对请求进行处理,支持配置关闭、告警、拦截
允许HTTP协议版本 1、设置允许的HTTP协议版本(HTTP/1.1、HTTP/1.0、HTTP/0.9、其它),限制非指定HTTP版本访问源站,保证源站针对性服务,不受黑客攻击
2、非法处理动作:即当请求非允许的HTTP协议版本时,将对请求进行处理,支持配置关闭、告警、拦截
HTTP请求头部缺失 请求缺失对应头部则告警或拦截。针对HTTP请求的头部进行缺失防护,当请求到达服务器时,检测到缺失头部时,进行相应处理动作,处理动作支持配置关闭、告警、拦截 HPP防护 HPP 防护 即 HTTP Parameter Pollution,HTTP 参数污染。在 HTTP 协议中是运行同样名称的参数出现多次,攻击者通过传播参数的时候传输 key 相同而 value 不同的参数,从而达到绕过某些防护与参数校验的后果。它是一种注入型的漏洞,攻击者通过在 HTTP 请求中插入特定的参数来发起攻击
1、合规检测的HPP防护能够及时处理该攻击行为,下拉框为处理动作,支持配置关闭、告警、拦截
2、作用范围支持选择cookie、body、url
cookie:cookie字段重复
body:针对x-www-form-urlencoded编码格式body进行重复参数检测
url:针对url传输参数重复检测
HTTP头部重复限制 请求对应头部存在重复则告警或拦截 Chunk攻击检测 针对请求体中嵌入HTTP请求攻击,窃取其它客户敏感信息的攻击行为进行告警或拦截 上传合规检测 针对上传表单校验是否满足上传协议规范,不符合则告警或拦截 %00检测 ASCII 0字符会对参数进行截断,造成源站不可预知错误,合规检测将针对此攻击行为进行告警或拦截 URL最大长度 限制请求URI最大长度,不符合的请求将告警或拦截。针对HTTP请求URI长度进行限制,避免大量不合规请求到达源站,占用资源,浪费系统性能 HTTP请求头部限制 针对HTTP请求头部内容进行限制。限制内容包含,请求头部,字段最大个数,请求头部参数值最大长度限制。不符合的请求将告警或拦截。
请求头部参数名最大长度: 限制请求头部参数名最大长度
请求头部参数值最大长度: 限制请求参数值最大长度
请求头部参数最大个数: 限制请求头部最大个数
例外 如果有特殊的业务无法通过合规检测策略,可以进行加白,则请求不会进行合规检测策略校验
