文档中心

上云无忧 > 文档中心 > 天翼云Web应用防火墙(边缘云版)规则防护引擎实战教程
天翼云
Web应用防火墙(边缘云版)
简介/价格/文档
天翼云Web应用防火墙(边缘云版)规则防护引擎实战教程

文档简介:
本节介绍了如何使用Web应用防火墙(边缘云版)的规则防护引擎为您的网站做好WEB应用攻击防护。 应用场景: 攻击者经常会采用SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等Web攻击手段对网站进行攻击。您的网站接入WAF后,可以通过配置对应的WAF漏洞防护集合规则来抵御这些Web应用类型攻击。
*产品来源:中国电信天翼云。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠

应用场景

攻击者经常会采用SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等Web攻击手段对网站进行攻击。您的网站接入WAF后,可以通过配置对应的WAF漏洞防护集合规则来抵御这些Web应用类型攻击。

如何配置防护策略

网站接入Web应用防火墙(边缘云版)时,Web应用防火墙(边缘云版)会根据您的选择防护等级和开发语言等选项自动为您选择合适的漏洞防护规则集合,Web应用防火墙(边缘云版)根据不同的漏洞防护规则集合提供不同程度的Web防护效果。每种漏洞集合针对不同的场景进行Web防护,减少正常请求的误报漏报,提高在您选择的场景下的拦截非法请求的成功率。

默认提供七种防护规则集合:

  • 全量防护规则:适用于重保等级高,且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则,绝大部分规则处理动作为拦截(网站防护模式为拦截时则直接进行拦截)。
  • 敏感防护规则集:适用于常规网站,且允许少量误报的业务场景。该漏洞规则集防护等级较为严格,容易误报的规则处理动作为告警,其他规则处理动作为拦截(网站防护模式为拦截时则直接进行拦截),存在一定误报可能性。
  • 宽松防护规则集:适用于常规网站,允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松,关闭容易产生误报的规则,可能存在一定漏报。
  • PHP防护规则集:适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定,关闭其他容易产生误报的规则。
  • JAVA防护规则集:适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定,关闭其他容易产生误报的规则。
  • 非PHP和JAVA防护集:适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定,关闭其他容易产生误报的规则。
  • 下载类业务规则集:适用于下载类业务,即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则,关闭其他容易产生误报的规则。

关于域名规则开关的选项说明:

  • 关闭:关闭规则防护,不会对Web攻击进行有效拦截和记录。
  • 告警:Web应用防火墙(边缘云版)不会拦截任何Web攻击,仅会根据域名规则匹配到的Web攻击记录到攻击日志。
  • 拦截:Web应用防火墙(边缘云版)会根据域名规则内容匹配,如果请求与域名规则匹配上会拦截请求,并记录到攻击日志中。

需要注意的是,Web应用防火墙(边缘云版)防护引擎是否会根据防护规则对攻击进行拦截,受防护总开关和域名规则开关的影响,仅在域名防护总开关与域名规则开关均为开启时生效。当您需要Web应用防火墙(边缘云版)根据防护规则及时拦截Web应用攻击时,您需要在“安全基础配置”页面设置防护模式为开启,处理动作修改为拦截,并且在“域名规则”页面将域名规则开关设置成拦截。

防护模式和处理动作配置如下图:

域名规则开关如下图:

当您需要修改某个域名子规则的处理动作,例如域名子规则5111的处理动作由告警修改为拦截状态时,可以通过提交工单,联系天翼云安全专家进行处理,联系方式见服务保障。除了控制全量域名规则的开关,您还可以根据您网站特性,选择一些误报率较高的域名规则进行关闭,减少误报率,如下图:

使用建议:

1、如果您对您的域名并不是熟悉,不熟悉域名的带宽、流量信息、遭受攻击数量等情况时,建议您在域名接入配置时选择监控模式(推荐模式),或者在网站防护模式中选择告警模式,先观察一段时间(推荐两周)的流量、攻击特征,收集到一定的域名信息特征和攻击日志后结合业务场景选择是否切换到拦截模式。

您可以分析根据以下情况进行调整:

  • 如果攻击日志中未发现正常的业务请求被误拦截,攻击日志内容中记录的都是非法请求的情况下,建议您将域名总开关、域名规则开关均切换到拦截模式,开始对您的网站进行域名规则防护。
  • 如果发现攻击日志中存在正常业务流量日志内容,如果您有一定的网站安全基础,您可以手动配置访问控制、关闭误拦截的域名规则等方式减少误报,再切换至拦截模式。
  • 如果发现攻击日志中存在正常业务流量日志内容,您也可以联系天翼云安全专家沟通具体的解决方案,联系方式见服务保障。

2、域名的业务请求中应当注意内容:

  • 在常规的业务请求中,尽量不要直接以原始SQL语句、代码作为参数进行传递,可能会遭受到攻击篡改和域名规则的误拦截,比如/ap1/v1/update?content=select * from t where
  • 在常规的业务请求中,要注意不要泄露服务器敏感信息(比如直接将含有数据库连接的错误堆栈内容返回浏览器)。服务器敏感信息泄露可能会被攻击者获取用于入侵,同时有服务器敏感信息泄露风险的请求也很可能被WAF拦截。

3、对于互联网中已经公布和尚未披露的0day漏洞,WAF会及时进行更新并发布到产品上来对使用WAF产品的进行防护,同时会在概览页最新消息内容中的威胁消息告知漏洞信息:

点击概览页最新消息中的漏洞消息可以进入到消息中心查看漏洞详情:

您可以查看您的网站是否会受到此漏洞的影响。如果受到漏洞的影响,可以联系天翼云安全专家沟通具体的解决方案,联系方式见服务保障。

如何查看防护数据报表

域名开启防护总开关后,您可以在安全分析中的WAF攻击报表中选择一个或者多个域名查看选中的域名匹配域名规则攻击内容。详情见WAF安全报表。

WAF攻击报表可以查询连续不间断的两个月的数据,报表内提供了多种攻击数据分析,包括:威胁分布、攻击趋势、攻击地区等多种数据分析图表,可以直观的查看WAF的防护效果。您可以根据图表内容来制定安全防护策略,维持域名的安全。

您也可以查询具体详细的日志内容,可以在日志管理WAF攻击日志查看详细的攻击记录,可以根据攻击类型、规则id、防护模式等多项组合进行筛选出攻击日志记录,点击查看详情可以查看当前选择的攻击日志的详细内容。详情见WAF攻击日志。

如果您在攻击日志中发现WAF误拦截了正常业务流量数据,产生误报时,可以先通过WAF攻击日志中,查看详情中添加白名单对受影响的业务URL进行加白配置,先放行该业务请求。然后联系天翼云安全专家(联系方式见服务保障)沟通具体的解决方案。
相似文档
  • 天翼云Web应用防火墙(边缘云版)网站防护实战教程
    当您第一次在Web应用防火墙(边缘云版)控制台完成域名接入后,面对各种Web应用防火墙(边缘云版)防护配置项,您可能不知道如何进行配置。本文将引导您从不同角色的视角、场景快速熟悉Web应用防火墙(边缘云版)的防护模块和防护规则的配置,让您从最紧急、最关注的防护内容入手,了解如何使用Web应用防火墙(边缘云版)保护您的网站。
  • 天翼云Web应用防火墙(边缘云版)服务协议
    中国电信天翼云服务协议 。 特别提示: 《天翼云科技有限公司服务协议》(“本协议”)系客户与天翼云科技有限公司(“云公司”,客户与云公司合称为“双方”)签订的,关于客户通过中国电信天翼云网门户(包括天翼云官网:www.ctyun.cn,天翼云Wap站m.ctyun.cn,“天翼云APP”,合称“天翼云网门户”)向云公司购买、由云公司向客户提供的云计算服务(“天翼云服务”)的约定。
  • 天翼云Web应用防火墙(边缘云版)服务等级协议
    天翼云Web应用防火墙(边缘云版)服务等级协议,最后更新时间:2022-06-29。 第一条 定义。 1.1服务周期:一个自然月为一个服务周期,如客户当月实际使用服务时间不满一个自然月,服务周期总分钟数按一个自然月计算; 1.2服务周期总分钟数:按照服务周期内的总天数×24(小时)×60(分钟)计算。
  • 什么是天翼云Web应用防火墙(原生版)?
    Web应用防火墙(原生版)(CT-WAF,Web Application Firewall,简称云WAF)为用户Web应用提供一站式安全防护,对Web业务流量进行智能全方位检测,有效识别恶意请求特征并防御,避免源站服务器被恶意入侵,保护网站核心业务安全和数据安全。
  • 天翼云Web应用防火墙(原生版)产品动态
    2022/11/09,Web应用防火墙(原生版)产品上线。 Web应用防火墙(原生版)(CT-WAF,Web Application Firewall,简称云WAF)为用户Web应用提供一站式安全防护,对Web业务流量进行智能全方位检测,有效识别恶意请求特征并防御,避免源站服务器被恶意入侵,保护网站核心业务安全和数据安全。
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部