文档简介:
Web基础防护类
如何将Web基础防护的仅记录模式切换为拦截模式?
本节介绍如何将Web基础防护的仅记录模式切换为拦截模式。
执行以下操作完成Web基础防护的防护模式切换:
1 登录管理控制台。
2 单击管理控制台右上角,选择区域或项目。
3 单击页面左上方的,选择“安全 >Web应用防火墙 (独享版)”。
4 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
5 在目标域名所在行的“防护策略”栏中,单击“配置防护策略”,进入“防护策略”页面。
6 在“Web基础防护”配置框中,选择“拦截”模式。
Web基础防护支持设置哪几种防护等级?
Web基础防护设置了三种防护等级:“宽松”、“中等”、“严格”,默认为“中等”。防护等级相关说明如表所示。
| 防护等级 | 说明 |
|---|---|
| 宽松 | 防护粒度较粗,只拦截攻击特征比较明显的请求。 当误报情况较多的场景下,建议选择“宽松”模式。 |
| 中等 | 默认为“中等”防护模式,满足大多数场景下的Web防护需求。 |
| 严格 | 防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求,例如jolokia网络攻击、探测CGI漏洞、探测Druid SQL注入攻击。 建议您等待业务运行一段时间后,根据防护效果配置误报屏蔽规则,再开启“严格”模式,使WAF能有效防护更多攻击。 |
CC攻击防护规则类
如何配置CC防护规则?
当业务接口被HTTP
Flood攻击时,可以通过Web应用防火墙Console界面设置CC防护规则,从而缓解业务压力。
用户可根据业务类型,配置CC防护规则,可配置以下内容:
具体的配置规则请参见8.3
配置CC攻击防护规则章节。
在什么情况下使用Cookie区分用户?
在配置CC防护规则时,当IP无法精确区分用户,例如多个用户共享一个出口IP时,用户可以使用Cookie区分用户。
用户使用Cookie区分用户时,如果Cookie中带有用户相关的“session”等“key”值,直接设置该“key”值作为区分用户的依据。
CC规则里“限速频率”和“放行频率”的区别?
“限速频率”是单个Web访问者在限速周期内可以正常访问的次数,如果超过该访问次数,WAF将根据配置的CC攻击防护规则“防护动作”来处理。例如,“限速频率”设置为“10次/60秒”,“防护动作”设置为“阻断”,则表示60秒只能有10次访问请求,一旦在60秒内访问请求超过10次,WAF就直接阻断该Web访问者访问目标URL。
配置CC防护规则时,如果选择了“高级”工作模式,且“防护动作”配置为“动态阻断”,则除了需要配置“限速频率”外,还需要配置“放行频率”。
如果在一个限速周期内,访问的请求频率超过“限速频率”触发了拦截,那么,在下一个限速周期内,拦截阈值将动态调整为“放行频率”。且“放行频率”为0时,表示上个周期发生拦截后,下一个周期所有满足规则条件的请求都会被拦截。
区别
精准访问规则类
精准访问防护规则可以设置在指定的时间段生效吗?
WAF不支持精准防护访问规则在指定的时间段生效。
您可以通过设置精准访问防护规则,对常见的HTTP字段(如IP、路径、Referer、User Agent、Params等)进行条件组合,筛选访问请求,并对命中条件的请求设置放行或阻断操作。
网站反爬虫类
开启网站反爬虫后,为什么有些请求被WAF拦截但查不到拦截记录?
当您开启网站反爬虫后,WAF将对该域名的第一个访问请求返回一个JavaScript代码,然后根据浏览器解析执行结果返回的数据来判断是否为合法的浏览器或爬虫工具。
网站反爬虫正常的检测流程如下:
客户端访问网站,实际请求首先发送到WAF上。
1 WAF返回JavaScript代码到客户端。
2 客户端解析JavaScript代码,并将执行结果返回给WAF。
3 WAF根据客户端返回的结果判断客户端是否为合法的浏览器。
4 如果合法,则WAF将请求发送给源站服务器。
5 如果非法,则WAF产生告警日志。
说明
如果客户端不满足以上要求,则只能完成1和2,此时:
对于客户端,请求没有成功获取到页面。
对于WAF,客户端并没有发送解析JavaScript代码的执行结果,因此没有拦截日志记录。
请您排查业务侧是否存在这种场景。如果您的网站有非浏览器访问的场景,建议您关闭网站反爬虫功能。
开启网站反爬虫,要求客户端浏览器具有JavaScript的解析能力,并开启了Cookie。
其他类
哪些情况会造成WAF配置的防护规则不生效?
域名成功接入WAF后,正常情况下,域名的所有访问请求流量都会经过WAF检测并转发到服务器。但是,如果网站在WAF前使用了CDN,对于静态缓存资源的请求,由于CDN直接返回给客户端,请求没有到WAF,所以这些请求的安全策略不会生效。
防护规则的路径是否区分大小写?
WAF所有需要配置路径的防护规则,配置的防护路径都区分大小写。
Web应用防火墙支持哪些防护规则?
本节介绍Web应用防火墙支持的防护规则。
Web基础防护
可防范常规的web应用攻击,如SQL注入攻击、XSS跨站攻击等,可检测webshell,检查HTTP上传通道中的网页木马,打开开关即实时生效。
CC攻击防护
可根据IP、Cookie或者Referer字段名设置灵活的限速策略,有效缓解CC攻击。
精准访问防护
对常见HTTP字段进行条件组合, 支持定制化防护策略如CSRF防护,通过自定义规则的配置,更精准的识别恶意伪造请求、保护网站敏感信息、提高防护精准性。
IP黑白名单
添加终拦截与始终放行的黑白名单IP,增加防御准确性。
地理位置访问控制
添加地理位置访问控制规则,针对来源IP进行自定义访问控制。
网页防篡改
对网站的静态网页进行缓存配置,当用户访问时返回给用户缓存的正常页面,并随机检测网页是否被篡改。
网站反爬虫
动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为。
误报屏蔽规则
针对特定请求忽略某些攻击检测规则,用于处理误报事件。
隐私屏蔽
隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。
防敏感信息泄露
防止在页面中泄露用户的敏感信息,例如:用户的身份证号码、手机号码、电子邮箱等。
Web应用防火墙的哪些防护规则支持仅记录模式?
WAF的Web基础防护规则支持“仅记录”模式。
WAF的CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则和网站反爬虫支持“仅记录”防护动作。
开启网页防篡改后,为什么刷新页面失败?
WAF网页防篡改仅支持对网站的静态网页进行缓存。如果您配置网页防篡改规则后,刷新页面访问的还是未更新的页面,请参考以下步骤处理:
1 登录管理控制台。
2 单击管理控制台右上角,选择区域或项目。
3 单击页面左上方的,选择“安全 >Web应用防火墙 (独享版)”。
4 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
5 在目标域名所在行的“防护策略”栏中,单击“配置防护策略”,进入“防护策略”页面。
6 在“网页防篡改”配置框中,检查是否已开启网页防篡改。
如果状态为打开,表示已开启,请执行步骤7。
如果状态为关闭,表示已关闭,单击
开启网页防篡改,等待几分钟后,刷新页面后重新访问。
7 单击“自定义网页防篡改”,进入网页防篡改规则的配置页面,查看规则域名和路径是否配置正确。
如果配置正确,请执行步骤8。
如果配置不正确,在目标网页防篡改规则所在行的“操作”列中,单击“删除”,删除该防护规则后,在列表上方单击“添加规则”,重新配置网页防篡改规则。
规则添加成功,等待几分钟后,刷新页面后重新访问。
8 在目标网页防篡改规则所在行的“操作”列中,单击“更新缓存”。
当防护页面内容进行了修改,请务必更新缓存,否则WAF将始终返回最近一次缓存的页面内容。
此时,刷新页面后重新访问,如果还是未更新的页面,请联系技术支持。
黑白名单规则和精准访问防护规则的拦截指定IP访问请求,有什么差异?
黑白名单规则和精准访问防护规则都可以拦截指定IP访问请求,两者的区别说明如表所示。
黑白名单规则和精准访问防护规则区别
| 防护规则 | 防护功能 | WAF检测顺序 |
|---|---|---|
| 黑白名单规则 | 只能阻断、仅记录或放行指定IP地址/IP地址段的访问请求。 | 最高 WAF根据配置的防护规则,按照8.1配置引导防护规则检测顺序,进行访问请求过滤检测。 |
| 精准访问防护规则 | 对常见的HTTP字段(如IP、路径、Referer、User Agent、Params等)进行条件组合,用来筛选访问请求,并对命中条件的请求设置放行或阻断操作。 | 低于黑白名单规则 |
如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly?
Cookie是后端web server插入的,可以通过框架配置或set-cookie实现,其中,Cookie中配置Secure,HttpOnly有助于防范XSS等攻击获取Cookie,对于Cookie劫持有一定的防御作用。
Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly
Secure等安全配置字段将记录为安全威胁。
