步骤1:网站业务梳理
在将网站接入Web应用防火墙(边缘云版,简称WAF)前,建议您先梳理网站的业务信息以及历史受攻击的情况,便于使用WAF制定合适的防护策略。
梳理网站的基础信息
梳理网站的基础信息,有利于您在域名接入WAF时,填写正确的域名配置。
- 网站支持哪些访问协议,如果需要支持HTTPS,那需要提前准备对应的HTTPS证书。
- 网站有使用了哪些业务端口,判断WAF是否能支持该网站的所有业务端口。
- 源站的IP有哪些,源站是否有iptables之类的访问限制,如果有需要加白WAF防护集群的回源IP。
梳理网站的业务情况
了解自身网站业务有利于WAF防护策略的配置,也有助于在订购WAF套餐时能选择合适的套餐规格属性。
- 网站当前的业务流量情况,包括流量峰值的Mbps、QPS情况。
- 网站访问者的主要来源,访问者的客户端环境有哪些,是否有APP客户端。
- 网站有多少用户活跃度,主要的用户群体有哪些,有助于分析访问行为特征并制定防护策略。
梳理网站的历史访问与攻击情况
- 单用户的访问频率一般有多少,有助于后续制定合适的频率控制策略。
- 是否遭受过大流量网络层攻击,判断是否需要开通DDoS服务以及开通多少防护规格。
- 是否遭受过大量高频的CC攻击,有助于提前配置对应的CC防护策略。
步骤2:域名接入WAF
此步骤需要进入WAF控制台,添加加速域名并配置 CNAME,操作详情请参考: 操作指导-WAF接入。
步骤3:域名管理
对资源文件的回源地址进行管理以及配合源站实际业务场景进行更高级的配置,包括源站配置、缓存配置等,操作详情请参考:操作指导-域名管理。
步骤4:配置防护策略
如上图所示,域名接入WAF后,您可根据网站业务需求选择合适的防护策略。
-
安全基础配置
选择适合您的网站防护模式,默认为告警模式;漏洞防护配置一般情况下建议选择敏感防护规则集,适用于常规网站,且允许少量误报的业务场景。更多配置详情请参考:设置规则防护。
-
高级防护
提供WAF的高级防护功能,包括CSRF防护、cookie防护、敏感词防护、攻击挑战、广告防护、网页防篡改等,高级防护功能默认为关闭状态,您可以根据业务需要选择开启响应的防护功能。配置详情请参考:安全防护配置。
-
账户安全防护
账户安全防护提供对网站账户的防护,包括撞库防护、暴力破解防护。配置详情请参考:安全防护配置-账户安全防护。
-
访问控制
访问控制可针对IP,IP段,URI,METHOD,请求地区,请求参数,请求头部,请求协议进行组合,设置白名单和黑名单,对请求进行拦截和放行, 保证客户网站不受未知访问的攻击 。配置详情请参考:安全防护配置-访问控制。
-
合规检测
合规检测功能可以根据用户实际配置的条件,检查HTTP协议头部,对HTTP请求信息中的方法以及参数长度等信息进行检测,对不符合要求的请求项进行拦截或告警。配置详情请参考:安全防护配置-合规检测策略。
-
域名规则配置
使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎,进行 Web 漏洞和未知威胁防护, 您可以查看对应的防护规则 ,根据您的业务需求选择开启或关闭规则。
-
CC配置
CC防护根据访问者的URL,频率、行为等访问特征,迅速智能得识别CC攻击并进行拦截,在大规模CC攻击时可以避免源站资源耗尽,保证企业网站的正常访问。配置详情请参考:安全防护配置-CC配置。
步骤5:检查配置是否准确
- 检查网站信息是否填写正确,包括域名、端口、协议、回源IP等内容。
- 检查是否有特殊端口。如果有特殊端口需求,您可以将需要使用的HTTP/HTTPS访问端口提交工单,由天翼云客服人工配置。只有专业版和旗舰版支持配置特殊端口。
- 检查上传的HTTPS证书是否正确,证书是否合法有效,证书链是否完整。
- 检查源站是否有防火墙或访问限制,是否已加白WAF的回源IP。
步骤6:验证业务是否正常
- 验证在各环境下是否都能正常访问业务系统,观察请求的状态码是否异常。
- 验证业务系统登录后的会话是否保持正常。
- 如果有手机端业务,检查是否有SNI兼容问题。
- 是否有配置只允许WAF回源IP访问源站,防止攻击者绕过WAF直接攻击源站。
