文档简介:
功能介绍
Web防护可以根据用户实际配置的条件,检查HTTP协议头部,对HTTP请求信息中的方法以及参数长度等信息进行检测,对不符合的请求项进行拦截或告警。
检测范围
- 请求方法检测:只允许指定请求方法访问网站
- 请求协议检测:只允许指定协议版本访问网站
- 请求头部缺失检测:请求缺少指定头部禁止访问网站
- 数据重复检测:针对头部重复,参数重复进行拦截,禁止访问网站
- 请求数据长度限制:针对请求URL,头部参数进行长度限制,禁止访问网站
前提条件
- 已开通Web应用防火墙(边缘云版)
- 已新增域名并成功接入WAF,具体操作请见WAF接入
- 开通体验版及以上版本支持使用合规检测功能
操作步骤
- 登录Web应用防火墙(边缘云版)控制台
- 登录Web应用防火墙(边缘云版)控制台,在左侧导航栏中选择【域名管理】—【域名列表】,单击域名列表操作【安全防护】
- 进入“合规检测”页面,可以配置合规检测策略;
注意:域名新增时,会有一条全站合规检测的默认策略,可以通过【防护开关】来开启或者关闭,客户也可以自定义合规检测规则
配置说明
| 配置项 | 说明 |
| 规则名称 | 设置规则名称 |
| 规则描述 | 设置规则描述 |
|
防护范围 |
设置需要防护的请求范围,可选择粒度有URI、PATH,支持输入字符串,比如PATH包含字符串/ |
|
允许HTTP请求方法 |
1、设置允许的请求方法(PUT、DELETE、POST、GET、其它),支持多选 2、非法处理动作:即当请求非允许的请求方法时,将对请求进行处理,支持配置关闭、告警、拦截 |
| 允许HTTP协议版本 |
1、设置允许的HTTP协议版本(HTTP/1.1、HTTP/1.0、HTTP/0.9、其它),限制非指定HTTP版本访问源站,保证源站针对性服务,不受黑客攻击 2、非法处理动作:即当请求非允许的HTTP协议版本时,将对请求进行处理,支持配置关闭、告警、拦截 |
|
HTTP请求头部缺失 |
请求缺失对应头部则告警或拦截。针对HTTP请求的头部进行缺失防护,当请求到达服务器时,检测到缺失头部时,进行相应处理动作,处理动作支持配置关闭、告警、拦截 |
| HPP防护 |
HPP 防护 即 HTTP Parameter Pollution,HTTP 参数污染。在 HTTP 协议中是运行同样名称的参数出现多次,攻击者通过传播参数的时候传输 key 相同而 value 不同的参数,从而达到绕过某些防护与参数校验的后果。它是一种注入型的漏洞,攻击者通过在 HTTP 请求中插入特定的参数来发起攻击 1、合规检测的HPP防护能够及时处理该攻击行为,下拉框为处理动作,支持配置关闭、告警、拦截 2、作用范围支持选择cookie、body、url
|
| HTTP头部重复限制 | 请求对应头部存在重复则告警或拦截 |
| Chunk攻击检测 | 针对请求体中嵌入HTTP请求攻击,窃取其它客户敏感信息的攻击行为进行告警或拦截 |
| 上传合规检测 | 针对上传表单校验是否满足上传协议规范,不符合则告警或拦截 |
| %00检测 | ASCII 0字符会对参数进行截断,造成源站不可预知错误,合规检测将针对此告警行为进行告警或拦截 |
|
|
支持选择HTTPonly和secure
|
| URL最大长度 | 限制请求uri最大长度,不符合的请求将告警或拦截。针对HTTP请求URI长度进行限制,避免大量不合规请求到达源站,占用资源,浪费系统性能 |
| HTTP请求头部限制 |
针对HTTP请求头部内容进行限制。限制内容包含,请求头部,字段最大个数,请求头部参数值最大长度限制。不符合的请求将告警或拦截。
|
| 例外 | 如果有特殊的业务无法通过合规检测策略,可以进行加白,则请求不会进行合规检测策略校验 |
