WAF防护配置是WAF防护的核心功能,对不同模块和不同层次的防护策略配置,可以实现灵活多变,适配不同场景的安全防护要求。WAF支持多层级的防护功能控制,也支持多模块的防护功能控制,通过对防护功能的设置,实现您对Web业务的安全防护需求。
WAF防护控制层级
WAF通过各级防护开关,支持通过开关一键控制WAF实例防护状态、某个域名的防护状态、域名的某个防护模块的防护状态以及某条防护规则的防护状态,从而实现对业务网站的灵活防护。WAF访问控制层级如下:
-
WAF总开关:可以控制当前WAF实例的防护状态。关闭WAF总开关后,所有域名的防护状态均关闭。WAF将只进行流量转发,不会拦截攻击行为也不会记录攻击日志。
-
域名防护开关:可以控制某个域名的防护状态。关闭域名防护开关后,该域名所有的防护功能关闭,WAF进入流量转发模式,不会拦截攻击行为也不会记录攻击日志。
-
防护模块开关:可以控制域名的某个防护模块的防护状态。用户可以根据防护需要,选择开启或关闭某个防护模块。
- 安全防护模块包括Web基础防护、CC防护、精准访问控制、IP黑白名单、地域访问控制、防敏感信息泄露、网页防篡改、白名单、BOT防护。
- 系统配置模块包括Cookie防篡改、隐私屏蔽、攻击惩罚。
-
防护规则开关:可以控制某条具体的防护规则的防护状态。用户可以根据防护需要,选择开启或关闭规则的防护状态。
例如,关闭某条防敏感信息泄露规则的防护状态。
防护模块配置
WAF支持多种威胁防护模块,防护模块概述如下:
防护模块 说明 默认规则 配置建议 Web应用基础防护 覆盖OWASP中的常见的攻击类型,通过内置规则库进行安全防护。
用户可选择系统默认规格的规则库,也可自定义防护规则库,实现针对性防护。
可开启/关闭,默认处于开启状态。
包括系统默认规则组(正常/宽松/严格)以及用户自定义规则组。默认选择正常规则组。
可根据不同的防护需求选择不同的防护等级:
正常规则组为考虑漏保和误报均衡结果的规则组,一般业务防护建议选择正常规则组。
宽松规则组提供精准的攻击检测策略,仅会对较为明确的攻击进行防护。
严格规则组提供全面的安全演策,会阻断所有可能为攻击的行为。
CC攻击防护 CC攻击(Challenge Collapsar)是DDoS的一种,攻击者通过代理服务器向受害主机不停发送大量数据包,造成Web业务服务器的资源耗尽,从而无法响应其他正常访问请求的一种攻击行为。CC攻击防护可以通过对Web业务请求的安全验证,防护网络攻击者对业务服务器发起的CC攻击。 可开启/关闭,默认处于关闭状态。
系统提供两种默认防护级别,无需用户设置防护规则实现快速配置。为了避免误杀,用户也可自定义CC防护规则,限制单个访问者对命中特定匹配条件的访问频率,WAF会根据配置的规则,精准识别CC攻击,并做出拦截、人机验证等动作处理。
当网站服务器资源有限,且存在被CC攻击的情况下建议开启。
开启后可能会影响业务的正常访问流程,建议选择人机验证,从而保证业务的可用性。
精准访问控制 用户可根据客户端IP、请求URL、以及常见的请求头字段定义访问请求的精确匹配条件,以进行过滤,并对命中条件的请求设置放行、拦截、观察或人机验证等操作。 可开启/关闭,默认处于关闭状态。 当业务出现明确需要保护的地址,例如用户名或密码保存的文件路径、以及管理员访问路径,可进行精准访问控制。 IP黑白名单设置 自定义添加IP黑白名单规则,阻断、放行指定IP的访问请求。
白名单优先级高于黑名单优先级,即当会话命中白名单后会被直接放行,不再进行后续的安全检测。
可开启/关闭,默认处于关闭状态。 黑白名单通常与其他防护模块并行使用,通过设置黑白名单,放行安全的访问请求,阻断恶意的访问请求。 BOT防护 WAF提供若干个已知的公开BOT类型,用户可分别设置相应的防护动作。
支持公开类型和自定义会话策略两大类防护策略。同时,用户可自定义防护策略,根据协议特征或者其他会话特征设置判定维度,对命中的请求进行相应的处理。
可开启/关闭,默认处于关闭状态。 BOT防护主要用于防止其他网站对业务网站信息的爬取,当有相关需要时,可以开启该模块。 地域访问控制 通过配置地域访问控制规则,可针对指定国家、地区的来源IP自定义访问控制。 可开启/关闭,默认处于关闭状态。 地域访问控制可以通过拒绝部分地域的访问,例如境外地址的访问,从而阻断掉可能来源于境外的攻击。 防敏感信息泄露 支持对网站返回的内容进行过滤(拦截、脱敏展示),过滤内容包括敏感信息、关键字和响应码。 可开启/关闭,默认处于关闭状态。 当网站返回信息中包括敏感信息时,通过设置防敏感信息泄露规则,可以过滤网站返回内容中的敏感信息(比如身份证号、电话号码等),对敏感信息进行脱敏展示,可以有效防止敏感泄露。 网页防篡改 通过缓存页面和锁定访问请求,可避免页面被恶意篡改而带来的负面影响,对重点静态页面进行保护。 可开启/关闭,默认处于关闭状态。 网页防篡改主要用于防护一些重点的静态页面。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护,WAF会新增一个Cookie字段用于篡改校验。 可开启/关闭,默认处于关闭状态。 Cookie防篡改主要用于防护Cookie变化较少、对安全性要求较高的网页。 隐私屏蔽 通过设置隐私屏蔽规则,可屏蔽用户隐私信息,避免用户隐私信息出现在系统记录的日志中。 可开启/关闭,默认处于关闭状态。 隐私屏蔽规则主要是屏蔽WAF系统日志中的用户隐私信息,可以从安全运维侧规避用户的隐私泄露风险。
防护模块防护顺序
WAF不同防护模块用于防护不同的安全场景,当所有模块都开启时,模块之间会存在防护的先后顺序,从而实现高效的安全防护。
天翼云WAF各模块间防护顺序如下: