Web应用防火墙(WAF)的资产识别功能帮助您检测发现云上与云下的所有域名资产,并对域名资产的安全状态评分,使您掌握业务的整体防护状态。您可以为安全评分较低的域名资产开启防护,提升整体安全防护水位线。

前提条件

您已购买中国内地地域的WAF实例。相关操作,请参见开通Web应用防火墙

注意 目前只有中国内地WAF实例(包含包年包月实例和按量付费实例)支持资产识别功能。

背景信息

网络应用资产是安全管理体系中最基础的载体,同时也是业务系统中最基本的组成单元。随着企业业务的高速发展,各类业务系统平台逐年增多,同时也存在员工私建站点、测试环境未及时回收等情况,导致可能产生大量“僵尸”资产。信息安全领域存在典型的木桶效应,即安全防护的水位由企业最薄弱的一环决定。由于无人管理,“僵尸”资产往往使用了低版本的开源系统、组件、Web框架等,导致一些薄弱环节暴露在攻击者的视野下,攻击者可以利用这些站点作为“跳板”,绕过企业的网络边界防护,进而使得整个企业内网沦陷。

WAF资产识别功能通过获取阿里云域名服务、云解析DNS、SSL证书等服务的配置信息,结合大数据关联分析能力,帮助您主动发现云上与云下的域名资产,为您提供全局资产视角,避免在安全防护中出现资产遗漏。同时,资产识别基于阿里云默认Web攻击检测能力,结合威胁情报,为您计算出云上域名的安全分值,帮助您发现被攻击者关注的域名,并支持为域名开启防护,避免域名遭受入侵。
说明 资产识别支持检测的域名资源包含阿里云域名和非阿里云域名,且非阿里云域名包括解析至非阿里云服务器的域名和线下IDC机房使用的域名。

查看域名资产

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择中国内地地域。
    注意 目前只有中国内地WAF实例(包含包年包月实例和按量付费实例)支持资产识别功能。
  3. 在左侧导航栏,选择资产中心 > 资产识别
  4. 授权WAF访问云资源。
    使用资产识别功能前,您必须先授予WAF读取阿里云账号中相关云服务的网站信息和管理云解析DNS服务的域名解析记录的权限。您可以通过系统自动创建的WAF服务关联角色(AliyunServiceRoleForWAF)为WAF授权。使用WAF期间,您只需执行一次授权操作即可。

    如果您已经执行过授权,请跳过该步骤;否则,参照以下步骤进行授权:

    1. 单击免费开通资产识别(SLR)
    2. 提示对话框,单击确定提示(SLR)
      您单击确定后,阿里云将自动为您创建WAF服务关联角色(AliyunServiceRoleForWAF)。
      您可以在RAM控制台身份管理 > 角色页面,查看阿里云为WAF自动创建的服务关联角色。只有创建服务关联角色AliyunServiceRoleForWAF后,您的WAF实例才能访问云服务器ECS、负载均衡SLB及ALB、云解析、CDN、证书服务、日志服务等关联云服务的资源。AliyunServiceRoleForWaf
    完成云资源访问授权后,WAF将自动检测与您的阿里云账号相关的域名资产,并在资产识别页面展示检测到的域名资产信息。
  5. 资产识别页面,查看WAF检测发现的域名资产信息。资产识别
    WAF将检测发现的域名资产根据主域名进行聚合展示。您可以通过以下方式,选择要查看的域名:
    • 在域名资产列表上方的状态筛选框,筛选域名的防护状态,快速定位到未防护部分防护防护中的域名。资产防护状态
    • 在域名资产列表上方的搜索框,使用域名关键字查询指定域名。支持模糊查询。
    • 在域名资产列表,单击某个主域名(例如,example.com)左侧的扩展按钮图标,展开该主域名下所有的子域名列表(例如,www.example.com),查看具体的域名资产信息。
    每个域名具体包含以下信息。
    类型 说明
    域名 网站绑定的域名。
    服务器地址 网站服务器的IP地址、CNAME域名地址。
    端口号 网站服务器开放的端口。
    协议 网站服务器使用的协议类型,支持HTTP和HTTPS协议。
    指纹信息 网站服务器的指纹信息。包括以下内容:
    • 开发语言。例如,Java、PHP、ASP等。
    • 中间件类型。例如,Nginx、Apache、Tomcat等。
    • 开源或商业应用类型。例如,Wordpress、DedeCMS、Discuz!等。
    • 开发框架类型。例如,ThinkPHP、Django等。
    • 组件类型。例如,Apache Shiro、Apereo CAS等。
    安全评分 基于云上近30天攻击趋势,结合威胁情报数据,通过加权计算得出的该域名的安全评分。

    安全评分越低,表示域名的风险越高。对于安全评分较低的域名,建议您尽快将域名接入WAF防护,以免域名资产遭受入侵。

    防护状态 该网站域名是否已接入WAF进行防护。具体包含以下状态:
    • 未防护:网站域名未接入WAF进行防护。推荐您为域名开启防护,具体操作,请参见为域名开启防护
    • 部分防护:仅适用于泛解析域名(例如,*.example.com),表示泛解析域名下有部分域名已接入了WAF进行防护。建议您排查剩余未接入WAF防护的域名,并为这些域名开启防护。
    • 防护中:网站域名已接入WAF进行防护,WAF检测到网站流量且为域名提供全面防护。您可以查看域名的资产详情,具体操作,请参见查看资产详情

为域名开启防护

对于资产列表中处于未防护状态的域名,如果该域名归属于当前阿里云账号(即在域名服务控制台域名列表中),则您可以通过操作列的添加网站操作,将该域名自动接入到WAF进行防护。

说明 添加域名时,如果控制台提示泛域名已经被其他用户开通,表示该域名所属的泛域名(例如,www.example.com隶属于*.example.com)已经被其他阿里云账号接入WAF进行防护,您无需重复接入。

查看资产详情

对于资产列表中处于防护中状态的域名,您可以通过操作列的资产详情操作,查看域名资产的详细信息。

资产详情
资产详情页面包含以下区域:
  • 基本信息:包含域名协议类型防护状态服务器地址
  • 站点树
    WAF通过采集到的域名访问流量大小和流量特征,对已接入防护的域名进行URL站点树分析,识别URL类型并进行分类。同时,站点树使用大数据泛化聚合算法(归一化算法)对URL和参数进行聚合展示。例如,站点树会将以下新闻站点的具体URL聚合为/{字符+数字}.html的URL形式:
    • /news1234.html
    • /oldnews1223.html
    • /news1224.html
    • /news124.html
    您可以在站点树区域,查看域名资产聚合后的URL、参数名、参数值类型和近一天内URL的请求次数。
    说明 站点树中的URL仅展示到路径级别。默认最多展示三级并按照URL的请求次数排序,优先展示重要的资产。
    该区域支持以下操作:
    • 您可以通过选择URL查询扩展名并输入关键字,搜索指定的URL。
    • URL列,您可以单击带有文件夹图标的URL,展开URL信息。
    • 参数名|值类型列,您可以查看URL涉及的参数名和参数值类型。
      说明 参数信息已经过泛化聚合,默认仅展示三个聚合后的参数名和对应的值类型,您可以将光标移至右下角的更多图标图标,查看所有参数。