Web基础防护支持哪几种防护等级?
Web基础防护默认可以选择三个等级的防护规则组,分别为正常、宽松和严格。用户也可根据业务需求,自定义创建防护规则组,移除经常误报的防护规则。配置详情请参见设置防护规则引擎。
- 正常:中等宽松规则组,该组规则综合考虑误报和漏报策略检测情况,选择均衡的规则策略进行匹配,一般情况下,该种策略为默认推荐规则,建议用户选择正常策略。
- 宽松:宽松规则组,该规则组更关注精准攻击拦截度,对于疑似攻击行为的访问请求将会认定为安全从而放行,如需减少误拦截,可选用该规则组。
- 严格:严格规则组,该规则组关注攻击拦截的覆盖程度,会全面拦截攻击和疑似攻击行为,如需尽可能保证业务的安全性,可选用该规则组。
CC防护中,什么情况下使用Session识别访问者?
在配置CC防护规则时,当IP无法精确区分用户,例如多个用户共享一个出口IP时,您可以使用Session区分单个访问者。
CC攻击(Challenge Collapsar)是DDoS的一种,攻击者通过代理服务器向受害主机不停发送大量数据包,造成Web业务服务器的资源耗尽,从而无法响应其他正常访问请求的一种攻击行为。因CC攻击采用周期和频率判断业务是否遭受到攻击,而当多个用户共用一个出口IP时,若采用IP识别访问者,则会造成系统将多个用户识别为一个,从而将来源于同一个出口IP的正常业务访问请求识别为CC攻击,进而导致用户的正常访问被拦截或阻断掉。而采用Session识别访问者,则可以避免将来源于同一个IP的多个用户访问识别成CC攻击。故当多个用户共享一个出口IP时,建议用户采用Session区分单个访问者。
什么情况下,可以选择紧急模式的CC防护?
CC攻击防护可以通过对Web业务请求的安全验证防护网络攻击者对业务服务器发起的CC攻击。
- 默认情况下,CC攻击的防护模式是正常模式,帮助您拦截常规的CC攻击。
- 当您发现在使用正常CC攻击防护模式状态下,依然出现源站CPU利用率飙升、数据库或者应用丢包时,说明常规的CC防护模式由于阈值设定的原因,已无法防护该CC攻击,为了缓解服务器的紧急状态,您可以选用攻击紧急模式。攻击紧急模式会降低判定CC攻击频率和周期的阈值,此时CC攻击的防护策略会非常敏感,对于所有超过阈值的访问请求都会拦截,从而保证在极端情况下依然能够对用户的Web业务进行防护。
注意由于紧急模式下,防护策略阈值较低,敏感度较高,可能导致对正常请求的误拦截。所以建议您在服务器紧急情况缓解后,排查清楚出具体出现紧急情况的原因并解决后,在正常状态下依然启用正常模式的CC防护。配置方式请参见CC防护。
IP黑名单支持批量添加IP地址吗?
不可以,当前WAF暂不支持批量添加IP地址,您可以通过创建IP黑名单规则,添加单个IP地址或IP地址段。
IP黑白名单支持配置的策略如下:
- 支持基于域名创建IP黑白名单规则。
- 支持添加IPv4、IPv6地址,支持添加IP地址段。
- IP黑白名单模块的防护检测逻辑优先级高于其他防护模块;IP黑白名单内部检测逻辑,白名单高于黑名单。
WAF原生版是否支持HTTPS双向认证?
HTTPS双向认证是相较于HTTPS单向认证而言的,HTTPS单向认证是指客户端在请求服务器数据时,需要验证服务器的身份。而双向认证是在此基础上,服务器端验证客户端的身份,从而实现双向认证。
双向认证主要应用场景是部分重要业务需要验证客户端身份时,需要使用双向验证。而使用WAF防护的业务,一般为对公众提供的Web服务,其原始业务不会有双向验证的要求,故当前WAF原生版不支持HTTPS双向认证。
WAF原生版是否支持WebSocket协议?
WebSocket是HTML5引入的一项技术,用于在Web应用程序中实现实时双向通信。与传统的HTTP请求-响应模型不同,WebSocket允许服务器主动向客户端推送数据,而不需要客户端发起请求。WebSocket连接保持打开状态,允许客户端和服务器之间进行双向通信,这为实时应用程序提供了更高效和实时的通信方式。当前WAF支持WebSocket进行用户业务的转发,实现WebSocket通信。
若一个IP同时配置了白名单和黑名单,优先级是什么?
IP白名单的优先级高于黑名单,若同时配置了白名单和黑名单,则优先以白名单为准,详情请参见IP黑白名单。
WAF支持设置单条防护规则的防护状态吗?
支持。
WAF原生版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。
WAF支持针对地理位置配置禁止访问策略吗?
支持。
地域访问控制支持针对地理位置的黑名单封禁,可指定需要封禁的国家、地区,阻断该区域的来源IP的访问。通过地域访问控制模块,可以满足针对地理位置的黑名单封禁。支持封禁的地域请参见地域访问控制。
注意基础版、标准版不支持地域访问控制功能,请升级到更高版本使用。
