天翼云Web应用防火墙(边缘云版)接入配置实战教程
文档简介:
本文介绍如何将网站域名接入Web应用防火墙(边缘云版),保障您网站的安全性和可用性。
步骤1:网站业务梳理。
在将网站接入Web应用防火墙(边缘云版)前,建议您先梳理网站的业务信息以及历史受攻击的情况,便于使用Web应用防火墙(边缘云版)制定合适你网站的防护策略。
咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云!
微信咨询
免费试用、价格特惠
步骤1:网站业务梳理
在将网站接入Web应用防火墙(边缘云版)前,建议您先梳理网站的业务信息以及历史受攻击的情况,便于使用Web应用防火墙(边缘云版)制定合适你网站的防护策略。
| 梳理项 | 说明 |
| 网站的基础信息与业务信息 | |
| 网站当前的业务流量情况,包括流量峰值的Mbps、QPS | 了解自身业务峰值有利于策略配置,也有助于在订购WAF套餐时能选择合适的带宽规格属性 |
| 网站访问者的主要来源 | 有助于使用访问控制策略结合实际业务访问情况对网站做精准防护 |
| 业务架构是C/S架构还是B/S架构 | 明确是否有App、Windows、Linux等各种环境的客户端 |
| 源站是否有黑白名、iptables等防火墙 | 如果源站有访问限制,需加白WAF防护集群的回源IP |
| 网站有使用哪些协议 | 判断WAF是否能支持该网站的所有协议,有助于接入域名时明确协议配置 |
| 网站有使用哪些业务端口 | 判断WAF是否能支持该网站的所有业务端口,有助于接入域名时明确端口配置 |
| 网站业务的交互逻辑 | 熟悉网站业务的交互逻辑,有助于后续配置合适自己网站业务的防护策略 |
| 网站有多少用户活跃度 | 有助于之后遇到风险紧急问题时的紧急应对策略制定 |
| 业务类型以及历史攻击情况 | |
| 业务类型和特征 | 有助于分析该网站的攻击特征,并制定精准的防护策略 |
| 单用户的访问频率 | 有助于后续制定合适的频率控制策略 |
| 有哪些用户群体 | 有助于分析该网站的访问行为特征,并制定对应的防护策略 |
| 是否遭受过大流量网络层攻击 | 判断是否需要开通DDoS服务,以及对应的套餐防护规格 |
| 是否遭受过大量高频的CC攻击 | 有助于提前配置对应的防护策略 |
| 源站是否有做过性能压测 | 评估源站性能,有助于后续分析攻击对源站的影响层度并以此制定合适的策略 |
步骤2:域名接入WAF
此步骤需要进入Web应用防火墙(边缘云版)控制台,添加加速域名并配置CNAME,操作详情请参考:操作指导-WAF接入。
步骤3:域名管理
对资源文件的回源地址进行管理以及配合源站实际业务场景进行更高级的配置,包括源站配置、缓存配置等,操作详情请参考:操作指导-域名管理。
步骤4:配置防护策略
如上图所示,域名接入Web应用防火墙(边缘云版)后,您可根据网站业务需求选择合适的防护策略。
-
安全基础配置
选择适合您的网站防护模式,默认为告警模式;漏洞防护配置一般情况下建议选择敏感防护规则集,适用于常规网站,且允许少量误报的业务场景。更多配置详情请参考:安全防护配置-安全基础配置。 -
高级防护
提供Web应用防火墙(边缘云版)的高级防护功能,包括CSRF防护、cookie防护、敏感词防护、攻击挑战、广告防护、网页放篡改等,高级防护功能默认为关闭状态,您可以根据业务需要选择开启响应的防护功能。配置详情请参考:安全防护配置-高级防护。 -
账户安全防护
账户安全防护提供对网站账户的防护,包括撞库防护、暴力破解防护。配置详情请参考:安全防护配置-账户安全防护。 -
访问控制
访问控制可针对IP,IP段,URI,METHOD,请求地区,请求参数,请求头部,请求协议进行组合,设置白名单和黑名单,对请求进行拦截和放行,保证客户网站不受未知访问。配置详情请参考:安全防护配置-访问控制。 -
合规检测
合规检测功能可以根据用户实际配置的条件,检查HTTP协议头部,对HTTP请求信息中的方法以及参数长度等信息进行检测,对不符合的请求项进行拦截或告警。配置详情请参考:安全防护配置-合规检测策略。 -
域名规则配置
使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎,进行 Web 漏洞和未知威胁防护,您可以查看规则对应的防护规则,根据您的业务需求选择开启或关闭规则。 -
CC配置
CC防护根据访问者的URL,频率、行为等访问特征,智能识别CC攻击,迅速识别CC攻击并进行拦截,在大规模CC攻击时可以避免源站资源耗尽,保证企业网站的正常访问。配置详情请参考:安全防护配置-CC配置。
步骤5:检查配置是否准确性
|
编号 |
检查项 | 是否必检 |
| 1 | 域名是否填写正确 |
是 |
| 2 | 域名是否已经备案 | 是 |
| 3 | 域名协议是否配置正确 | 是 |
| 4 | 域名端口是否配置正确。如果有特殊端口需求,您可以将需要使用的HTTP/HTTPS访问端口提交工单,由天翼云客服人工配置。只有专业版和旗舰版支持配置特殊端口。 | 是 |
| 5 | 源站IP填写是否正确 | 是 |
| 6 | 上传的域名证书是否正确 | 是 |
| 7 | 域名证书是否合法有效 | 是 |
| 8 | 域名证书链是否完整 | 是 |
| 9 | 源站是否有防火墙或访问限制,是否已加白WAF的回源IP | 是 |
步骤6:验证业务是否正常
|
编号 |
检查项 | 是否必检 |
| 1 | 验证在各环境下是否都能正常访问业务系统 |
是 |
| 2 | 验证业务系统登录后的会话是否保持正常 | 是 |
| 3 | 观察请求的状态码是否异常 | 是 |
| 4 | 如果有手机端业务,检查是否有SNI兼容问题 | 是 |
| 5 | 检查源站服务是否有获取真实的访问源IP | 否 |
| 6 | 是否有配置只允许WAF回源IP访问源站,防止攻击者绕过WAF直接攻击源站 | 否 |
步骤7:安全运营
-
统计分析
您可以通过该模块查看CC攻击报表、WAF攻击报表、业务分析、热门分析等功能,详情请参考:安全运营-统计分析 -
告警管理
您可以通过该模块配置告警规则及查看告警记录,详情请参考:安全运营-告警管理 -
日志服务
该模块提供了WAF攻击日志、CC攻击日志的查看与导出功能,以及下载业务的访问日志的功能,详情请参考:安全运营-日志服务 -
态势感知
通过态势感知模块,您可以实时查看到业务整体的攻击情况,详情请参考:安全运营-态势感知
