当您第一次完成域名接入,面对网站防护设置时,可能会不知道从何下手。本文将引导您从不同场景、角色的视角快速熟悉Web应用防火墙(Web Application Firewall,简称WAF)的防护模块选择和防护策略设置,帮助您从自己最关心的需求入手,了解WAF的防护逻辑。

前提条件

已完成网站接入。更多信息,请参见添加域名

使用前须知

本文所有描述建立在您已经开通了相关防护功能的基础上。如果您还没有启用推荐的防护功能,您可以参考功能描述文档开启并设置对应功能。

除特殊说明外,本文推荐的防护设置均在网站防护页面完成。您可以参照以下步骤访问网站防护页面。

  1. 登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择防护配置 > 网站防护
  3. 网站防护页面上方,切换到要设置的域名。切换域名

概述

本文从以下不同角色视角或业务需求视角出发,提供了网站防护的设置建议。您可以选择最贴近您自身实际需求的场景,了解相关的防护设置:

我是新手,不懂安全,也没有特殊需求

您可能是基于等保要求或出于提升企业安全水位(达到预防目的)等考虑购买了Web应用防火墙。这种情况下,您可以在完成网站接入后直接使用WAF的默认防护设置,不做任何调整。WAF提供的默认防护能力足够为网站抵御绝大部分的基础Web威胁。

建议您多关注Web应用防火墙控制台总览安全报表页面,了解业务情况和攻击情况。具体操作,请参见以下文档:

我是运维人员,希望业务安全平稳,出问题时可以快速排查问题

针对您的需求,推荐您在完成网站接入后,为网站设置以下防护功能:

  • 网站白名单:设置网站访问白名单,直接放行满足条件的请求,不进行任何防护检测。
    操作导航:单击网站防护页面右上角的网站白名单,完成相关设置。具体操作,请参见设置网站白名单网站白名单
    您也可以设置具体防护模块的白名单,只加白部分防护模块,这样防护会更加精确。具体操作,请参见以下文档:
    • Web入侵防护白名单:可以让满足条件的请求不经过规则防护引擎的检测。
    • 数据安全白名单:可以让满足条件的请求不经过防敏感信息泄露、网站防篡改、账户安全模块的检测。
    • Bot管理白名单:可以让满足条件的请求不经过爬虫威胁情报、数据风控、智能算法、App防护模块的检测。
    • 访问控制/限流白名单:可以让满足条件的请求不经过CC安全防护、IP黑名单、扫描防护、自定义防护策略模块的检测。
  • IP黑名单:封禁与业务不相关的IP地址和地址段,以及指定地域区域的来源IP的访问请求。例如,不存在外省IP访问的地方政府论坛,可以将外省地区加入地域级黑名单;不存在非中国内地用户的站点,可以将非中国内地地区加入地域级黑名单。

    操作导航:在网站防护页面,单击访问控制/限流页签,定位到IP黑名单区域,完成相关设置。具体操作,请参见设置IP黑名单

  • 自定义防护策略:为网站自定义访问控制(ACL)或访问限流策略。例如,限制某些接口只允许特定IP或者UA访问、限制某些特定类型请求的请求频率不能过高等。您也可以通过自定义防护策略防护CC攻击、爬虫攻击或者某些特殊的Web攻击等。

    操作导航:在网站防护页面,单击访问控制/限流页签,定位到自定义防护策略区域,完成相关设置。具体操作,请参见设置自定义防护策略

  • 账户安全:帮助您识别与账户关联的业务接口(例如注册、登录等)上发生的账户安全风险事件,具体包括撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷。

    操作导航:在网站防护页面,单击Web安全页签,定位到数据安全 > 账户安全区域,单击前去配置,完成相关设置。具体操作,请参见设置账户安全

我是专业的安全人员,需要做全面的Web入侵运营

针对您的需求,推荐您在完成网站接入后,为网站设置以下防护功能:

  • 解码设置:根据自身业务实际的编码情况,设置需要WAF防护引擎进行解码的内容格式,最大化地做到精确防护。选择合适的解码方式能够帮助WAF更好地识别流量。WAF默认应用全部13种解码方式,您可以过滤不需要的方式,避免不必要的解析和可能的误拦截。解码设置

    操作导航:在网站防护页面,单击Web安全页签,定位到Web入侵防护 > 规则防护引擎区域,完成解码设置。具体操作,请参见设置规则防护引擎

  • 防护规则组:基于内置的防护规则集进行删减,选择最适合您业务系统形态、框架、中间件等实际情况的防护规则集合,使用这些规则自定义Web攻击防护的防护规则组,并将其应用到网站。建议您使用防护规则组设置针对网站整体的Web入侵防御策略。如果仅是针对单个URL的防护策略,建议您使用自定义防护策略。
    操作导航:访问Web应用防火墙控制台系统管理 > 防护规则组页面,自定义Web攻击防护的防护规则组,并将自定义规则组应用到网站。具体操作,请参见自定义防护规则组web攻击防护默认规则组
  • 自定义防护策略:为网站自定义访问控制(ACL)或访问限流策略。例如,限制某些接口只允许特定IP或者UA访问、限制某些特定类型请求的请求频率不能过高等。您也可以通过自定义防护策略防护CC攻击、爬虫攻击或者某些特殊的Web攻击等。

    操作导航:在网站防护页面,单击访问控制/限流页签,定位到自定义防护策略区域,完成相关设置。具体操作,请参见设置自定义防护策略

  • 主动防御告警模式):主动防御基于对当前域名流量的学习建立正常流量的模型,包括请求参数的类型、长度、是否必须等信息。模型建成后,一旦发现请求不符合模型所描述的特征即告警。主动防御告警模式帮助您更有效地发现业务中的异常和威胁。如果被检测出来的请求对您的业务没有意义,则可以开启拦截模式。

    操作导航:在网站防护页面,单击Web安全页签,定位到高级防护 > 主动防御区域,开启状态开关并将模式设置为告警。具体操作,请参见设置主动防御

  • 扫描防护高频Web攻击封禁目录遍历防护扫描工具封禁协同防御):扫描防护功能从情报、扫描器特征、扫描行为检测等多个维度,帮助您更好地降低来自扫描器的威胁。

    操作导航:在网站防护页面,单击访问控制/限流页签,定位到扫描防护区域,开启全部功能并设置合适的阈值。具体操作,请参见设置扫描防护

我的业务需要严格的安全防护,有攻击时宁可错杀不可漏掉

针对您的需求,推荐您在完成网站接入后,为网站设置以下防护功能:

  • 规则防护引擎严格规则组

    操作导航:在网站防护页面,单击Web安全页签,定位到Web入侵防护 > 规则防护引擎区域,将防护规则组设置为严格规则组。具体操作,请参见设置自定义防护策略

  • 主动防御拦截模式):主动防御基于对当前域名流量的学习建立正常流量的模型,包括请求参数的类型、长度、是否必须等信息。模型建成后,一旦发现请求不符合模型所描述的特征即告警。在高强度保护场景下,建议您直接开启拦截模式。

    操作导航:在网站防护页面,单击Web安全页签,定位到高级防护 > 主动防御区域,开启状态开关并将模式设置为拦截。具体操作,请参见设置主动防御

  • 扫描防护高频Web攻击封禁目录遍历防护扫描工具封禁协同防御):扫描防护功能从情报、扫描器特征、扫描行为检测等多个维度,帮助您更好地降低来自扫描器的威胁。

    操作导航:在网站防护页面,单击访问控制/限流页签,定位到扫描防护区域,开启全部功能并设置合适的阈值。具体操作,请参见设置扫描防护

  • IP黑名单:封禁与业务不相关的IP地址和地址段,以及指定地域区域的来源IP的访问请求。例如,不存在外省IP访问的地方政府论坛,可以将外省地区加入地域级黑名单;不存在非中国内地用户的站点,可以将非中国内地地区加入地域级黑名单。

    操作导航:在网站防护页面,单击访问控制/限流页签,定位到IP黑名单区域,完成相关设置。具体操作,请参见设置IP黑名单

我的业务经常受到爬虫骚扰或面临数据泄露、被篡改的风险

针对您的需求,推荐您在完成网站接入后,为网站设置以下防护功能:

  • 数据风控:数据风控适合防护针对特定接口发出的机器流量(例如脚本、自动化工具等),例如登录、注册、下单等场景。
    说明 数据风控依赖于JS注入,只适用于网页环境。请不要在App中启用该功能。

    操作导航:在网站防护页面,单击Bot管理页签,定位到数据风控区域,完成相关设置。具体操作,请参见设置数据风控

  • 防敏感信息泄露:帮助您过滤服务器返回内容(异常页面或关键字)中的敏感信息,如身份证号、银行卡号、电话号码和敏感词汇等,进行打码显示。

    操作导航:在网站防护页面,单击Web安全页签,定位到数据安全 > 防敏感信息泄露区域,完成相关设置。具体操作,请参见设置防敏感信息泄露

  • 网站防篡改:帮助您锁定需要保护的网站页面,被锁定的页面在收到请求时,返回已设置的缓存页面。

    操作导航:在网站防护页面,单击Web安全页签,定位到数据安全 > 网站防篡改区域,完成相关设置。具体操作,请参见设置网站防篡改

  • 自定义防护策略:例如您可以针对某些经常被爬取的静态页面一键开启JS验证,拦截大多数脚本和自动化程序。您也可以基于精细化的频率控制对访问过快的session等开启滑块校验。

    操作导航:在网站防护页面,单击访问控制/限流页签,定位到自定义防护策略区域,完成相关设置。具体操作,请参见设置自定义防护策略

  • 账户安全:帮助您识别与账户关联的业务接口(例如注册、登录等)上发生的账户安全风险事件,具体包括撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷。

    操作导航:在网站防护页面,单击Web安全页签,定位到数据安全 > 账户安全区域,单击前去配置,完成相关设置。具体操作,请参见设置账户安全

  • 合法爬虫:提供合法搜索引擎白名单(例如Google、Bing、百度、搜狗、Yandex等),方便您为域名设置放行合法爬虫的访问请求。

    操作导航:在网站防护页面,单击Bot管理页签,定位到合法爬虫区域,完成相关设置。具体操作,请参见设置合法爬虫规则

  • 爬虫威胁情报:提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的爬虫威胁情报规则,方便您在全域名或指定路径下设置阻断恶意爬虫的访问请求。

    操作导航:在网站防护页面,单击Bot管理页签,定位到爬虫威胁情报区域,完成相关设置。具体操作,请参见设置爬虫威胁情报规则

  • App防护:专门针对原生App端,提供可信通信、防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。

    操作导航:在网站防护页面,单击Bot管理页签,定位到App防护区域,完成相关设置。具体操作,请参见设置App防护