操作前提
已经在Web应用防火墙(边缘云版)控制台完成接入域名,并且域名已处于已启用的状态。更多信息见添加域名。
操作内容须知
本文描述都是建立在您已经完成域名新增,并且域名状态处于已启用的前提下进行操作,您可以参考功能的描述文档开启并设置相对应的功能。
除了特殊防护配置以外的内容,大部分的Web应用防火墙(边缘云版)防护配置均在域名列表中的“安全防护”页面完成。参照如下访问网站防护配置页面:登录Web应用防火墙(边缘云版)后,域名管理-域名列表-安全防护(详情见安全防护配置)。
选中需要配置的域名,点击安全防护开始配置域名安全防护内容。
本文会根据不同的角色或者业务视角来给您提供网站防护策略的配置建议。您可以根据您的实际需求和您对网站的熟悉程度来了解相关的网站防护配置。
没有安全经验的使用者要如何配置防护策略
您可能出于等保要求或者为了预防Web攻击而购买Web应用防火墙,但您之前从未了解过网站安全相关知识或者未使用过安全产品,这种情况可以参考本章内容进行域名的防护配置修改。在根据域名接入指引成功添加域名后(域名状态由配置中变更为 已启用 ),在“安全防护 > 安全基础配置”页面将防护开关置为开启并将处理动作置为拦截,然后在“安全防护 > 域名规则”中将域名规则开关置为拦截模式,完成这几步操作后WAF就可以帮助您自动识别、拦截绝大部分的Web攻击请求。
同时您也需要多关注概览、安全分析、日志管理、态势感知等数据统计分析页面,了解业务流量、数据情况和攻击威胁情况。查看相关数据报表可以让您对域名信息有更详细的了解,同时可以根据这些数据特征,联系天翼云安全专家沟通具体的解决方案,在天翼云安全专家的指导下进一步配置域名防护内容,对域名安全进一步加固。关于统计分析报表的详情介绍可查看相关文档:安全分析报表、WAF攻击日志、态势感知。
当您在攻击日志中发现正常的业务请求被误拦截,而您又不会根据误拦截内容进行防护配置变更时,您可以联系天翼云安全专家沟通具体的解决方案,联系方式见服务保障。
有安全经验的使用者如何配置符合自己网站的安全策略
如果您有了解过网站安全的相关知识,或者有网站安全运维的经验,那么当您的网站遭到Web攻击时,您可以根据WAF控制台的数据报表、日志分析、态势感知等内容进行快速排查定位,并及时修改安全防护配置解决问题,防止问题严重性进一步扩大。根据上述描述推荐您在域名接入到WAF安全防护后,根据实际业务场景使用如下防护功能:
配置规则
当您的域名存在误报情况时,您可以设置域名规则白名单来减少误报,对于符合白名单规则的请求,WAF防护引擎可以根据您的配置直接放行请求。
操作导航:在WAF控制台的“日志管理 > WAF攻击日志 >日志详情”页面添加白名单,完成相关配置。
您也可以设置具体的防护模块白名单,加白部分防护模块,使域名防护更加精确,详见文档:防护白名单。
配置访问控制策略
您可以使用访问控制功能针对指定的IP地址,IP段或者地区来源的访问请求进行封禁。或者只允许指定部分IP、IP段、地区访问您的业务,例如:封禁海外IP地址。您也可以使用访问控制功能限制某些接口请求频率不能过高。详见文档:访问控制。
针对具体攻击场景的防护策略配置
您也可以配置CC攻击防护、攻击挑战、敏感词、网页防篡改等策略来应对各种Web攻击场景,维持网站稳定。详见文档:访问控制、高级防护策略、CC配置。
配置账号安全策略
通过配置账号安全策略,可以帮助您在指定的URL接口识别出账号安全风险事件并进行拦截。包括: 撞库防护、暴力破解防护 。详见文档:账户安全防护。
漏洞防护集合
您可以根据网站的业务、代码组成等多种情况来选择适合您域名站点的漏洞防护集合,同时关闭或者开启一些适合您业务系统形态、框架的域名规则减少误报漏报。详情见:安全基础配置、域名规则。
特殊的防护配置
如果您存在特殊的配置在页面上无法进行配置时,可以通过工单联系天翼云安全专家,沟通具体的解决方案。
场景示例
下面提供了多种防护配置场景,您可以以此为参考结合自己网站的实际场景进行安全防护配置。如果以下使用场景示例均无法解决您的问题,您也可以通过工单,联系天翼云安全专家说明您的需求,由天翼云安全专家提供解决方案。
防止网页被篡改
当攻击者通过系统漏洞入侵了您的系统后,可能会通过篡改数据或劫持网络等方式对网站内容进行恶意篡改,导致您的页面显示的被恶意篡改后的内容。此时,您可以使用WAF中的网页防篡改功能,添加您需要进行保护的页面。WAF网页防篡改功能用于保护网站核心静态页面,通过对比源站响应与媒体存储中心缓存的响应,保护网站因为源站页面被恶意篡改带来的负面影响,同时您可以根据需要配置防篡改规则。
保护账户安全
您可以配置账号安全策略,帮助您在指定的URL接口识别出账号安全风险事件并进行拦截,保护数据安全,减少数据信息内容泄露。提高账号信息安全。详见文档:设置账户安全防护。
需要自定义防护场景
当您需要限制某些特殊接口的请求规则和请求频率时,您可以通过配置访问控制、频率控制策略来实现。又或者是遭受到CC等特殊攻击时,您可以配置CC防护等策略来拦截特殊的Web攻击内容,详见文档:访问控制、CC配置。
敏感词信息泄露
敏感词防护功能支持对网站返回的内容进行脱敏展示,过滤内容包括敏感信息(如身份证、手机号、银行卡、邮箱等)。您可以根据实际需要设置敏感词防护规则,满足数据安全保护和等保合规需求。详见文档:设置敏感词防护。
高频Web攻击场景
您可以配置攻击挑战策略,针对短时间内发起高频大量web攻击(触发规则防护)的客户端ip,阻止该IP一段时间内的所有请求。使用该策略可以快速拦截恶意攻击Web的IP,快速应对恶意扫描、Web攻击威胁,提高攻防对抗效率。详情见:攻击挑战。
Web页面可能被嵌入危险信息和不良广告
Web页面可能因为服务器被入侵,流量被劫持等原因导致正常客户的web页面中嵌入危险信息,或者其他不良的内容等。遇到这种场景,您可以配置广告防护,WAF可以解析源站响应页面代码,在body中插入广告监测的javaScript代码,实现广告和监测功能。同时也可以配置外链白名单,当请求资源来自白名单时,不会进行广告处理允许正常显示。详情见:广告防护。
Bot爬虫防护
当您的域名存在爬虫问题时,可以通过工单申请开通Bot防护配置,可以提供更加针对性的防护策略来保护您的网站免受爬虫问题困扰。
严格防护模式
当您的业务需要严格的安全防护模式,不管任何请求进来时宁可被误拦截,也不允许进入系统内部时。您可以在域名新增的时候选择拦截模式,同时选择漏洞防护集合和全量防护规则集合。也可以在控制台的“域名列表>安全防护>安全基础配置”页面配置选择全量防护规则集并开启拦截防护。同时可根据业务、流量特征信息,配置高级防护、访问控制、CC配置等其他特殊的防护配置内容,如:您的域名只允许国内访问,则可以通过访问控制,封禁海外IP内容,只允许国内IP进行访问。使用严格防护模式的配置策略后,可能会产生大量误报内容,您可以通过分析攻击日志信息,利用加白、配置规则等方式对可信任的请求进行放行减少误报的情况。
