文档简介:
功能说明类
Web应用防火墙是否能防护IP?
WAF可以对IP进行防护。
在WAF中配置的源站IP支持私网IP或者内网IP。
有关域名接入WAF的流程说明,请参见14.4.1.1
域名/IP如何接入Web应用防火墙?。
Web应用防火墙支持对哪些对象进行防护?
WAF支持对域名或IP进行防护。
Web应用防火墙支持哪些操作系统?
Web应用防火墙部署在云端,即与操作系统没有关系。故Web应用防火墙支持任意操作系统,任意操作系统上的域名服务器都可以接入WAF做防护。
Web应用防火墙提供的是几层防护?
Web应用防火墙提供的是七层(物理层、数据链路层、网络层、传输层、会话层、表示层和应用层)防护。
Web应用防火墙是否支持文件缓存?
WAF只缓存配置了网页防篡改的静态网页,用于将缓存的未被篡改的网页返回给Web访问者,以达到防篡改的目的。
Web应用防火墙攻击防护类问题
什么是防护IP?
防护IP是指需要保护的网站的IP地址。
Web应用防火墙支持漏洞检测吗?
WAF的Web基础防护功能可以对第三方漏洞攻击等威胁进行检测和拦截。在配置Web基础防护规则时,如果您开启了扫描器,WAF将对扫描器爬虫,如OpenVAS、Nmap等进行检测。
Web应用防火墙是否支持Exchange里的相关协议?
WAF支持exchange里登录网页webmail时的http和https协议;WAF不支持exchange里的SMTP 、POP3 、IMAP 等邮件相关的协议。
Web应用防火墙是否支持防御XOR注入攻击?
Web应用防火墙支持防御XOR注入。
如何理解WAF日志里的bind_ip参数?
网站接入WAF后,WAF作为反向代理存在客户端与源站服务器之间,检测过滤恶意攻击流量,用bind_ip(WAF的回源IP)将正常的流量转发传输到源站。
通过IP接入WAF后,WAF可以防护映射到这个IP的所有域名吗?
不支持。
WAF的独享模式支持源站IP接入WAF防护,且该IP支持私网IP或者内网IP,但WAF仅防护通过IP访问的流量,不能防护映射到这个IP的域名,如需防护域名,需要单独将域名接入WAF进行防护。
Web应用防火墙是否支持SSL双向认证?
不支持。您可以在WAF上配置单向的SSL证书。
Web应用防火墙支持基于应用层协议和内容的访问控制吗?
WAF支持应用层协议和内容的访问控制,应用层协议支持HTTP和HTTPS。
Web应用防火墙是否可以对用户添加的Post的body进行检查?
WAF的内置检测会检查Post数据,webshell是Post提交的文件。Post类型提交的表单、json等数据,都会被WAF的默认策略检查。
您可以通过配置精准访问防护规则,对添加的Post的body进行检查。
Web应用防火墙可以限制域名访问速度吗?
不支持。WAF支持通过自定义CC防护规则,限制单个IP/Cookie/Referer访问者对防护网站上特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。
Web应用防火墙可以拦截multipart/form-data格式的数据包吗?
WAF支持拦截multipart/form-data格式的数据包。
Multipart/form-data是浏览器使用表单上传文件的方式。例如,在写邮件时,如果邮件添加了附件,附件通常使用multipart/form-data格式上传到服务器。
Web应用防护墙可以部署在VPC内网吗?
可以。独享版WAF的独享引擎实例部署在VPC内。
Web应用防火墙支持拦截包含特殊字符的URL请求吗?
WAF不支持将拦截请求URL中含有特殊字符作为拦截条件,即URL请求中有特殊字符,WAF不会拦截。WAF可以对来源IP进行检测和限制。
Web应用防火墙可以防止垃圾注册和恶意注册吗?
WAF不能防止垃圾注册和恶意注册等业务层面攻击行为。建议您在网站配置注册验证机制,以防止垃圾注册和恶意注册。
WAF通过对HTTP(S)请求进行检测,可以识别并阻断Web服务的网络攻击(SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等)。
Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗?
当Web页面调用其他接口的请求数据在WAF防护域名内时,该请求数据将经过WAF,WAF会检测并阻断该请求数据。
如果Web页面调用其他接口的请求数据不在WAF防护域名内,则该请求数据不经过WAF,WAF不会拦截该请求数据。
Web应用防火墙可以配置会话Cookie吗?
WAF不支持配置会话Cookie。
WAF可以通过配置CC攻击防护规则,限制单个Cookie字段特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。例如,您可以通过配置CC攻击规则,使Cookie标识为name的用户在60秒内访问域名的“/admin*”页面超过10次时,封禁该用户访问域名600秒。
什么是Cookie
Cookie是网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),Cookie由Web服务器发送到浏览器,可以用来记录用户个人信息。
Cookie由一个名称(Name)、一个值(Value)和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成。Cookie分为会话Cookie和持久性Cookie两种类型,详细说明如下:
会话Cookie
临时的Cookie,不包含到期日期,存储在内存中。当浏览器关闭时,Cookie将被删除。
持久性Cookie
包含到期日期,存储在磁盘中,当到达指定的到期日期时,Cookie将从磁盘中被删除。
Web应用防火墙支持自定义POST拦截吗?
WAF不支持自定义POST拦截。针对HTTP/HTTPS原始请求,WAF引擎内置防护规则的检测流程如图所示。
Web应用防火墙可以设置域名限制访问吗?
WAF不能直接通过域名限制访问。WAF支持配置黑白名单规则(即设置IP黑/白名单),阻断、仅记录或放行指定IP或IP段的访问请求。
您可以通过配置黑白名单规则,阻断、仅记录或放行域名对应的IP或IP段的访问请求。
Web应用防火墙有IPS入侵防御系统模块吗?
Web应用防火墙没有传统防火墙的IPS模块,不支持IPS入侵防御,仅支持对HTTP/HTTPS协议的入侵检测。
Web应用防火墙支持哪些Web服务框架/协议?
Web应用防火墙部署在云端,与Web服务框架没有关系。
WAF通过对HTTP/HTTPS请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
WAF支持防护的协议类型说明如下:
- WebSocket/WebSockets协议,且默认为开启状态
−
“对外协议”选择“HTTP”时,默认支持WebSocket
−“对外协议”选择“HTTPS”时,默认支持WebSockets
- HTTP/HTTPS协议
WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗?
可以。WAF支持防护HTTP/HTTPS协议业务。
网站选择使用HSTS(HTTP Strict
Transport Security,HTTP严格传输安全协议)策略后,会强制要求客户端(如浏览器)使用HTTPS协议与网站进行通信,以减少会话劫持风险。配置HSTS策略的网站使用的是HTTPS协议,WAF可以防护。
NTLM(New Technology LAN Manager,Windows NT LAN管理器)代理是Windows平台下HTTP代理的一种认证方式,其认证方式与Windows远程登录的认证方式是一样的,客户端(如浏览器)和代理之前需要三次握手才开始传递信息。
对于客户端(如浏览器)和代理之前使用NTLM认证的业务,WAF可以防护。
WAF转发和Nginx转发有什么区别?
WAF转发和Nginx转发的主要区别为Nginx是直接转发访问请求到源站服务器,而WAF会先检测并过滤恶意流量,再将过滤后的访问请求转发到源站服务器,详细说明如下:
WAF转发
网站接入WAF后,所有访问请求将先经过WAF,WAF通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击流量后,将正常流量返回给源站,从而确保Web应用安全、稳定、可用。
WAF会缓存网站数据吗?
WAF的网页防篡改功能,可以为用户提供应用层的防护,只对网站的静态网页进行缓存,当用户访问网站时返回给用户缓存的正常页面,并随机检测网页是否被篡改。
Web应用防火墙是硬防火墙还是软防火墙?
Web应用防火墙是软防火墙。
有关域名接入WAF的详细操作,请参见5
接入WAF。
HTTP 2.0业务接入WAF防护是否会对源站有影响?
HTTP 2.0业务接入WAF防护对源站有影响。HTTP
2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求,而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求,即WAF与源站间暂不支持HTTP 2.0。因此,如果您将HTTP 2.0业务接入WAF防护,则源站的HTTP 2.0特性将会受到影响,例如,源站HTTP 2.0的多路复用特性可能失效,造成源站业务带宽上升。
WAF对SQL注入、XSS跨站脚本攻击的检测原理?
SQL(Structured Query Language)注入攻击是一种常见的Web攻击方法,攻击者通过把SQL命令注入到数据库的查询字符串中,最终达到欺骗服务器执行恶意SQL命令的目的。例如,可以从数据库获取敏感信息,或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和Cookie等各种内容。
WAF针对SQL注入攻击的检测原理
WAF针对SQL注入攻击的检测原理是检测SQL关键字、特殊符号、运算符、操作符、注释符的相关组合特征,并进行匹配。
SQL关键字(如 union,Select,from,as,asc,desc,order by,sort,and ,or,load,delete,update,execute,count,top,between,declare,distinct,distinctrow,sleep,waitfor,delay,having,sysdate,when,dba_user,case,delay 等)
特殊符号(’”,; ())
运算符(±*/%|)
操作符(=,>,<,>=,<=,!=,+=,-=)
注释符(–,/**/)
WAF针对XSS攻击的检测原理
WAF对XSS跨站脚本攻击的检测原理主要是针对HTML脚本标签、事件处理器、脚本协议、样式等进行检测,防止恶意用户通过客户端请求注入恶意XSS语句。
XSS关键字(javascript 、script、object、style、iframe、body、input、form、onerror、alert等);
特殊字符(<、>、’、”);
外部链接(href=“http://xxx/”,src="http://xxx/attack.js")。
如果业务需要上传富文本,可以用multipart方式上传,不用body方式上传,放在表单里,即使base64编码也会解码。分析业务场景,建议限制引号、尖括号输入。
WAF是否可以防护Apache Struts2远程代码执行漏洞(CVE-2021-31805)?
WAF的Web基础防护规则可以防护Apache
Struts2远程代码执行漏洞(CVE-2021-31805)。
配置方法
1 申请WAF独享引擎。
2 将网站域名添加到WAF中并完成域名接入,详细操作请参见5.2
网站接入WAF。
3 将Web基础防护的状态设置为“拦截”模式,详细操作请参见8.2
配置Web基础防护规则。
独享版WAF是否支持跨VPC防护?
WAF独享引擎不支持跨VPC防护的场景。如果WAF独享引擎实例与源站不在同一个VPC中,建议您重新申请与源站在同一VPC下的WAF独享引擎实例进行防护。
使用说明类
问题现象
域名接入WAF通过第三方漏洞扫描工具扫描后,扫描结果显示了域名的标准端口(例如443)和非标准端口(例如8000、8443等)。
可能原因
由于WAF的非标准端口引擎是所有用户间共享的,即通过第三方漏洞扫描工具可以检测到所有已在WAF中使用的非标准端口。域名的端口检测,应以源站IP开通的端口为准,即引擎的端口检测并不影响源站的使用安全,且WAF保证客户解析CNAME返回的引擎IP的安全性。
处理建议
无需处理
使用Web应用防火墙对邮件收发和邮件端口有影响吗?
WAF是对Web应用网页进行防护,当您的网站接入WAF后,对邮件收发和邮件端口不会产生影响。
如何获取访问者真实IP?
网站接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。
通常情况下,网站访问并不是简单地从用户的浏览器直达服务器,中间可能部署有CDN、WAF、高防。例如,采用这样的架构:“用户 > CDN/WAF/高防 > 源站服务器” 。那么,在经过多层代理之后,服务器如何获取发起请求的真实客户端IP呢?
一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时,会在HTTP的头部中加入一条“X-Forwarded-For”记录,用来记录用户的真实IP,其形式为“X-Forwarded-For:访问者的真实IP,代理服务器1-IP, 代理服务器2-IP,代理服务器3-IP,……”。
因此,访问者的真实IP可以通过获取“X-Forwarded-For”对应的第一个IP来得到。
Web应用防火墙如何拦截请求内容?
WAF对请求的首部和body体都会进行检测。例如body的表单、xml、json等数据都会被WAF检测,WAF通过检测对不符合防护规则的请求内容进行拦截。
本地文件包含和远程文件包含是指什么?
您可以在WAF的防护事件中查看文件包含等安全事件,快速定位攻击源或对攻击事件进行分析。
文件包含是指程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含。文件包含分为本地文件包含和远程文件包含,说明如下:
l
当被包含的文件在服务器本地时,称为本地文件包含。
l
当被包含的文件在第三方服务器时,称为远程文件包含。
文件包含漏洞是指通过函数包含文件时,由于没有对包含的文件名进行有效的过滤处理,被攻击者利用从而导致了包含了Web根目录以外的文件进来,导致文件信息的泄露甚至注入了恶意代码。
QPS和请求次数有什么区别?
QPS(Queries Per Second)即每秒钟的请求量,例如一个HTTP GET请求就是一个Query。请求次数是间隔时间内请求的总量。
QPS是单个进程每秒请求服务器的成功次数。
QPS = 请求数/秒(req/sec )
“安全总览”页面中QPS的计算方式说明如表所示。
QPS取值说明
| 时间段 | QPS平均取值说明 | QPS峰值取值说明 |
|---|---|---|
| “昨天”、“今天” | 间隔1分钟,取1分钟内的平均值 | 间隔1分钟,取1分钟内的最大值 |
| “3天” | 间隔5分钟,取5分钟内的平均值 | 间隔5分钟,取5分钟内的最大值 |
| “7天” | 间隔10分钟,取每5分钟内平均值的最大值 | 间隔10分钟,取10分钟内最大值 |
| “30天” | 间隔1小时,取每5分钟内平均值的最大值 | 间隔1小时,取1小时内最大值 |
什么是并发数?
并发数指系统能够同时处理请求的数目。对于网站而言,并发数即网站并发用户数,指同时提交请求的用户数目。
如果证书挂载在ELB上,WAF可以根据请求内容进行拦截吗?
如果证书挂载在ELB上,通过WAF的请求都是加密的。对于HTTPS的业务,您必须将证书上传到WAF上,WAF才能根据解密之后的请求判断是否进行拦截。
接入WAF对现有业务和服务器运行有影响吗?
接入WAF不需要中断现有业务,不会影响源站服务器的运行状态,即不需要对源站服务站进行任何操作(例如关机或重启)。
仅放行通过WAF的访问请求,如何配置?
您可以在源站服务器上配置只放行WAF回源IP的访问控制策略,即仅允许通过WAF的请求访问到源站,防止黑客获取源站IP后绕过WAF直接攻击源站,以确保源站安全、稳定、可用。
为什么Cookie中有HWWAFSESID或HWWAFSESTIME字段?
防护域名/IP接入WAF后,WAF会在客户请求Cookie中插入HWWAFSESID,HWWAFSESTIME等字段,这些字段服务于WAF统计和安全特性,不影响用户业务。
网站部署了反向代理服务器,如何配置WAF?
如果网站部署了反向代理服务器,网站接入WAF后不会影响反向代理服务器。接入WAF后,WAF作为一个反向代理部署在客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。
泛域名和单域名都接入WAF,WAF如何转发访问请求?
单域名和泛域名都接入WAF后,WAF优先将防护网站的访问请求转发到单域名,如果不能识别单域名,访问请求将转发到泛域名。
例如,单域名a.example.com和泛域名*.example.com接入WAF,访问请求将优先通过单域名a.example.com进行转发。
泛域名配置说明如下:
如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。
如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。
使用WAF是否影响内网向外发送数据?
使用WAF不会影响内网机器向外发送数据。网站成功接入WAF后,WAF对网站的HTTP(S)请求进行检测,网站所有访问请求将先流转到WAF,WAF检测过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。
源站IP地址服务器更换安全组后,在WAF中需要做更改吗?
添加到WAF的域名/IP的源站IP地址服务器更换安全组后,在WAF中不需要做任何操作,但是需要在源站放行WAF的回源IP或者实例IP。
