天翼云Web应用防火墙(边缘云版)网站防护配置概述
文档简介:
本文介绍Web应用防火墙(边缘云版)的接入防护前提条件以及防护能力概览。
接入防护前提条件:
您需要先在控制台新增域名并接入边缘云WAF,具体操作可见WAF接入。
防护能力概览:
下表将为您描述目前边缘云WAF具备的防护能力以及应用场景。
咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云!
微信咨询
免费试用、价格特惠
接入防护前提条件
您需要先在控制台新增域名并接入边缘云WAF,具体操作可见WAF接入
防护能力概览
下表将为您描述目前边缘云WAF具备的防护能力以及应用场景
| 模块 | 防护能力 | 说明 | 应用场景 |
|
Web安全 |
安全基础配置 | 支持配置Web安全的防护开关,可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 | 为Web安全的基础配置,您需要使用任何防护能力都需要先进行基础配置 |
| 规则防护 | 目前已维护6套防护规则集,基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护,能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 | 建议基于自身业务防护需求选择对应的防护规则集 | |
| 网页防篡改 | 位于高级防护模块下,能够保护网站核心静态页面,避免因为源站页面被恶意篡改带来的负面影响 | 希望网站防止被恶意篡改页面内容时配置 | |
| 防护敏感信息泄露 | 位于高级防护模块下,支持对网站返回的内容进行脱敏展示,过滤内容包括敏感信息(如身份证、手机号、银行卡、邮箱等) | 希望网站避免泄露身份证、手机号等敏感信息时配置 | |
| 合规检测策略 | 支持检查HTTP协议头部,对HTTP请求信息中的方法以及参数长度等信息进行检测,对不符合的请求项进行拦截或告警 | 针对不在http请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 | |
| cookie防护 | 位于高级防护模块下,采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名,防护一些使用cookie中的弱key进行权限绕过的漏洞利用,也能在一定程度上限制基于cookie修改的爬虫 | 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie,通常小程序、APP、API可能不支持 | |
| 攻击挑战 | 位于高级防护模块下,支持自动阻断短时间内发起多次Web攻击的IP,快速应对恶意扫描及代理、Web 攻击威胁等行为,可提升攻防对抗效率 | 攻防演练、恶意扫描及代理、Web攻击行为等 | |
| CSRF防护 | 位于高级防护模块下,支持防护跨站请求伪造(英语:Cross-site request forgery,简称CSRF)攻击 | 针对发起CSRF攻击进行防护 | |
| 广告防护 | 位于高级防护模块下,支持解析源站响应页面代码,在body中插入广告检测js代码,实现广告防护和监测功能 | 针对网站出现的恶意广告(网站中出现未将网站所有者允许的广告内容)进行防护 | |
| 账户安全防护 | 从撞库、暴力破解两个攻击角度进行防护,保障用户的账户安全 | 针对账户安全的场景进行防护 | |
|
Bot管理 |
Bot防护策略 | 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略,精准命中爬虫流量,拦截各类恶意爬虫 |
针对支持携带cookie的客户端请求,小程序、APP、API可能不支持 对于无法正常执行跳转的请求,可以设置跳转挑战 |
| 爬虫情报规则 | 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁,目前爬虫情报库已维护接近10万条数据 |
对已知搜索引擎IP放行处理,不经过Bot防护策略,提升网站SEO权重; 对已知恶意Bot请求IP拦截处理 |
|
| IP情报规则 | 支持针对已维护的IP信誉库,从威胁类型维度(IDC服务器、傀儡机、漏洞利用等十几类)进行IP封禁,目前IP信誉库已维护接近120万条数据 | 对已知IDC IP进行封禁处理;拦截傀儡机、漏洞利用等已知恶意IP | |
| 访问控制/限流 | CC防护规则 | 支持根据请求的URL,频率、行为等访问特征,迅速识别CC攻击并进行拦截 | 防护大规模CC攻击,避免源站资源耗尽,保证企业网站的正常访问 |
| IP黑名单 | 支持针对指定IP以及指定地域IP进行封禁处理 | 封禁来自国外访问的IP | |
| 扫描防护 |
支持识别常见的扫描器类型,也支持自定义扫描器识别规则,做到精准拦截 |
拦截常见的扫描器类型,避免网站受到外部扫描 | |
|
防护白名单 |
网站白名单 |
支持在访问控制中,针对特定请求设置为白名单,则不经过全局防护策略的检测 |
对于可信任流量可以设置为白名单,将不经过任务防护策略 |
| Web规则白名单 | 支持针对防护规则集中的具体规则设置白名单,则指定请求不经过该规则的检测 | 某条域名规则出现误拦截时,可以将误拦截的请求设置为白名单 | |
| Bot策略白名单 | 支持针对Bot防护策略设置白名单,则指定请求将不经过Bot防护策略的检测 | 明确不需要经过Bot防护策略的请求,可以在Bot功能模块中设置为白名单 | |
| 开启IPv6防护 | 开启IPv6防护 | 提供IPv4/IPv6双栈服务,能够解决网站“天窗”问题,并可以有效提升网站IPv6链接支持率 | 政策驱动,各地市对于当地企业网站的IPv6浓度有一定指标 |
