文档简介:
网站接入WAF实例后,您可以按照一下推荐防护模块对已接入的网站进行防护策略配置。
Web基础防护
一般情况下,建议选用拦截模式,并选用正常规则组防护策略。
说明:业务接入WAF防护一段时间后(一般为2~3天),如果出现网站业务的正常请求被WAF误拦截的情况,您可以通过设置自定义规则组的方式提升Web防护效果。相关操作,请参见自定义防护规则组,提升Web攻击防护效果。
CC防护
业务正常运行时,建议采用常规防护模式。
由于CC防护的防护-紧急模式可能产生一定量的误拦截,如果您的业务为App业务或Web API服务,不建议您开启防护-紧急模式。如果使用CC安全防护的正常模式仍发现误拦截现象,建议您使用精准访问控制功能放行特定类型请求。
说明:业务接入WAF防护一段时间后(一般为2-3天),可以通过分析业务日志数据(例如,访问URL、单个IP访问QPS情况等)评估单个IP的请求QPS峰值,提前通过自定义CC攻击防护配置限速策略,避免遭受攻击后的被动响应和临时策略配置。
BOT防护
当您的业务经常受到爬虫骚扰或面临数据泄露、被篡改的风险,针对防护需求,建议您为网站开启BOT防护功能。BOT防护设置支持公开类型、自定义会话策略两大类防护策略。
-
公开类型:云WAF提供已知公开的BOT大类,包括Web爬虫、扫描器、语言库等爬虫类型,用户可以根据自身需求对公开BOT类型设置防护状态及防护动作,WAF将对命中公开类型的BOT请求进行相应处理。
-
自定义会话策略:提供自定义协议特征、自定义会话特征两类防护策略,每种类型特征包含多个判定维度,用户可以根据实际业务情况设置协议特征规则状态、自定义会话策略,WAF将根据命中防护策略的请求进行处理。
精准访问控制
当攻击源IP比较分散时,可以通过分析防护事件日志,使用精准访问控制提供的丰富字段和逻辑条件组合,灵活配置访问控制策略实现精准防护,有效降低误拦截。
-
支持URL、Cookie、Referer、User Agent、Params、Header等HTTP常见参数和字段的条件组合。
-
支持包含、等于、大于等于、小于等于、正则匹配等逻辑条件,设置阻断或放行等策略。
说明:
1. 当您配置了自定义CC防护,其可能会产生误拦截,建议您通过防护事件日志分析找出攻击特征,配合使用精准访问防护策略实现精准拦截;
2. 支持对创建的规则设置失效时间及优先级。
IP黑白名单
您可以将网站业务已有信任的访问客户端(例如,监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等),设置成IP白名单;同时可封禁与业务不相关的IP地址和地址段。
说明:
1. 支持添加IPv4、IPv6地址,支持添加IP地址段; 支持对创建的规则设置失效时间;
2. IP黑白名单模块的防护检测逻辑优先级高于其他防护模块;IP黑白名单内部检测逻辑,白名单高于黑名单。
地域访问控制
地域访问控制支持针对地理位置的黑名单封禁,可指定需要封禁的国家、地区,阻断该区域的来源IP的访问。
说明:
1. 支持封禁境内、境外的地域;
2. 支持针对创建的防护规则定义失效时间。
以上配置完成后,建议您进行配置准确性检查和验证测试,检查项包括域名是否填写正确、是否备案、接入配置协议/端口是否与实际一致、WAF前是否有配置其他代理、源站填写的IP是否是真是的服务器IP、回源算法是否与预期一致、证书信息是否准确上传、证书是否合法完整等等。
所有的检测测试均通过后,再进行逐个域名修改DNS解析记录,将网站业务流量切换至WAF,避免业务异常。
