文档简介:
为快速实现Web应用防护,您需要购买云WAF实例、完成域名接入并配置防护策略。防护开启后,可通过安全总览、防护时间报表查看访问统计信息和攻击防护记录,掌握业务的安全状况。
使用流程
步骤一 购买云WAF实例
操作步骤
1. 登录天翼云控制台,在控制台列表页,选择“安全>Web应用防火墙(原生版)”;
2. 首次使用Web应用防火墙(原生版),需点击“立即购买”,选择服务版本、扩展包以及购买时长;
3. 确认支付费用,点击“立即开通”,进入支付页面完成支付即可开通。
说明
-
Web应用防火墙(原生版)提供了基础版、标准版、企业版、旗舰版四个版本,规格详情请参见产品规格;
-
勾选“自动续费”后,当服务器满时,系统将会按照默认续费周期续费。按月购买,自动续费周期默认为3个月;按年购买,自动续费周期默认为1年。如需要修改自动续费周期,可进入天翼云“管理中心>产品中心>产品续订”页面,找到对应的资源进行修改。
步骤二 网站接入
操作步骤
1. 进入云WAF产品控制台,在左侧导航栏点击“域名接入”,在域名列表上方点击“添加域名”;
2. 根据页面提示配置域名、服务器协议、源站地址、代理情况、负载均衡策略等相关信息;
3. 放行WAF回源IP段:WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时,您需要设置源站服务器的安全软件或访问控制策略,放行WAF回源IP段的入方向流量;
4. 本地验证:添加域名后,在本地电脑上搭建简易的模拟环境,验证网站流量转发设置已经生效,避免转发设置未生效时修改域名的DNS解析设置,导致业务访问异常;
5. 修改域名DNS:若域名在接入WAF前未使用代理,则需要到该域名的DNS服务商处,修改域名的DNS解析配置,将网站的流量解析到WAF;若域名在接入WAF前使用了代理(DDoS高防、CDN等),则需要将使用的代理类服务(DDoS高防、CDN等)的回源地址修改为的目标域名的“CNAME”值。
说明
-
系统默认防护80和443端口,如需配置80和443以外的端口,请额外选择;
-
服务器配置若勾选了HTTPS协议,需要导入HTTPS证书。
步骤三 配置网站防护策略
网站域名接入WAF后,WAF默认开启Web基础防护的规则防护引擎,可防御常见的Web应用攻击,如SQL注入、XSS、目录穿越、代码执行、文件包含、文件上传、命令注入、信息泄露、XML实体注入等等。如需要开启其他防护模块,可按如下步骤配置:
1. 在WAF控制台左侧导航栏点击“防护配置”,在防护配置页面可以定位需要开启的防护模块,将“状态”切换为开启;
2. 开启后,可点击对应防护模块的“前去配置”,配置具体的防护策略或添加自定义防护策略。
步骤四 查看防护事件报表
网站开启正常防护后,WAF会记录防护事件信息,包括域名、事件类型、处置动作、攻击URL、攻击IP、攻击时间等。
1. 在WAF控制台左侧导航栏点击“防护事件”;
2. 在防护事件列表可以查看网站的防护记录。
