全部產品
Search

搜尋本產品

    :配置CDN WAF

    文件中心

    :配置CDN WAF

    更新時間:Dec 25, 2023

    CDN結合邊緣Web Application FirewallWAF(Web Application Firewall)能力,將業務流量進行惡意特徵識別及防護,將正常、安全的流量回源到伺服器。避免網站伺服器被惡意入侵,保障業務的核心資料安全,解決因惡意攻擊導致的伺服器效能異常問題。 通過本文您可以瞭解WAF防護功能、使用情境、費用說明和設定方法。

    前提條件

    • 您已通過 提交工單開通CDN WAF進階版或者企業版。

    • 開啟加速節點的WAF防護前請您確認網域名稱的加速地區選取項目符合您的業務需要(即選擇為 全球 或者 全球(不包含中國內地) )。修改網域名稱加速地區的操作方法,請參見 切換加速地區

    增值服務

    企業版的具體功能單擊下表中連結即可。

    功能項

    企業版

    Web掃描防護

    支援

    帳號安全

    支援

    CC攻擊防護

    支援

    海量IP黑名單封鎖

    支援

    Rate Limit

    支援

    爬蟲情報庫

    支援

    驗證碼整合

    支援

    爬蟲智能演算法

    支援

    基礎Web攻擊防護

    支援

    0 DAY規則更新防護

    支援

    預警|阻斷模式

    支援

    解碼防混淆編碼繞過

    支援

    規則群組自訂

    支援

    HTTP欄位存取控制

    支援

    Log Service

    支援 (3T)

    背景資訊

    阿里雲CDN的WAF功能,是指CDN融合了WAF能力,在CDN節點上,提供WAF防護功能。

    CDN的WAF服務主要適用於金融、電商、O2O、互連網+、遊戲、政府、保險等行業,保護您的網站在使用CDN加速的同時,免受因外部惡意攻擊而導致的意外損失。

    使用CDN WAF功能後,可以協助您解決以下問題:

    • 防資料泄密,避免因駭客的注入式攻擊導致網站核心資料被拖庫泄露。

    • 阻止木馬上傳網頁篡改,保障網站的公信力。

    • 提供虛擬補丁,針對網站被曝光的最新漏洞,最大可能地提供快速修複規則。

    當您開啟WAF功能後,CDN WAF會對此網域名稱的所有請求進行檢測,並按照賬戶維度,對網域名稱開啟WAF功能的請求次數匯總,然後收費。CDN WAF計費價格,請參見 增值服務計費-CDN WAF計費

    操作步驟

    1. 登入CDN控制台
    2. 在左側導覽列,單擊域名管理
    3. 域名管理頁面,單擊目標網域名稱對應的管理
      網域名稱管理

    4. 在指定網域名稱的左側導覽列,單擊 安全配置

    5. CDN WAF 頁簽,開啟邊緣Web Application Firewall開關。

    6. 單擊 修改配置

    7. 根據頁面提示,配置 Web安全 Bot管理 存取控制/限流

      專案

      參數

      說明

      Web安全

      狀態

      Web入侵防護開關。

      模式

      Web入侵防護模式如下:

      • 攔截 :發現入侵後直接攔截。

      • 警示 :發現入侵後只警示不攔截。

      防護規則群組

      Web入侵防護規則如下:

      • 寬鬆規則 :當您發現在 中等規則 下存在較多誤攔截時,建議您選擇 寬鬆規則 。寬鬆模式下對業務的誤判程度最低,但也容易漏過攻擊。

      • 中等規則 :預設使用中等規則。

      • 嚴格規則 :當您需要更嚴格地防護路徑穿越、SQL注入、命令執行時,建議您選擇 嚴格規則

      解碼設定

      設定需要正則防護引擎解碼分析的內容格式。

      1. 單擊 ,開啟配置視窗。

      2. 選中或取消選中要解碼的格式。

        • 不支援取消的格式: URL解碼 JavaScript Unicode解碼 Hex解碼 注釋處理 空格壓縮

        • 支援取消的格式: Multipart解析 JSON解析 XML解析 PHP序列化解碼 HTML實體解碼 UTF-7解碼 Base64解碼 Form解析

      3. 單擊 確定

      說明

      為保證防護效果,正則防護引擎預設對請求中所有格式類型的內容進行解碼分析。如果您發現正則防護引擎經常對業務中包含指定格式內容的請求造成誤攔截,您可以取消解碼對應格式,針對性地降低誤殺率。

      Bot管理(僅限企業版使用者)

      合法爬蟲

      狀態

      合法爬蟲開關。

      說明

      合法爬蟲提供合法搜尋引擎白名單,可應用於全網域名稱下允許存取。您可以根據實際需求,單擊 前去配置 ,啟用或者關閉合法爬蟲。

      典型爬蟲行為識別

      狀態

      典型爬蟲行為識別開關。

      說明

      典型爬蟲行為識別提供典型爬蟲行為識別的通用演算法執行個體,可配置基本業務參數和風險閾值進行機器學習,輸出智能防護結果以對抗進階爬蟲。您可以根據實際需求,單擊 前去配置 ,添加演算法規則。

      爬蟲威脅情報

      狀態

      爬蟲威脅情報開關。

      說明

      爬蟲威脅情報雲端式平台強大的計算能力,提供撥號池IP、IDC機房IP、惡意掃描工具IP以及雲端即時模型產生的惡意爬蟲庫等多種維度威脅情報,可應用於全網域名稱或指定路徑下進行阻斷。您可以根據實際需求,單擊 前去配置 ,編輯情報。

      存取控制/限流

      IP黑名單

      狀態

      IP黑名單控制開關。

      說明

      IP黑名單支援一鍵封鎖特定的IP地址和位址區段訪問,以及指定地區的IP地址的訪問限制能力。您可以根據實際需求,單擊 前去配置 ,添加IP地址黑名單和IP地區黑名單。

      自訂防護策略

      狀態

      自訂防護策略開關。

      說明

      自訂防護策略支援自訂精準條件的存取控制規則,以及基於精準條件下的指定統計對象的訪問限制自訂規則。您可以根據實際需求,單擊 前去配置 ,添加自訂防護策略。

    角色授權

    當您需要CDN邊緣Web Application Firewall自動角色授權時,可以使用CDN WAF功能,CDN將自動為您建立AliyunServiceRoleForCDNAccessingWAF角色,並授權CDN使用該角色,並授權CDN訪問WAF產品中的資源。

    AliyunServiceRoleForCDNAccessingWAF角色中包含的許可權包括如下介面:

    • DescribePayInfo

    • CreatePostpaidInstance

    • CreateOutputDomainConfig

    • DeleteOutputDomainConfig

    • DescribeDomainWebAttackTypePv

    • ModifyLogServiceStatus

    • DescribeProtectionModuleMode

    • DescribeDomainRuleGroup

    • DescribeRegions

    • ModifyProtectionRuleStatus

    • ModifyProtectionRuleCacheStatus

    • DescribePeakValueStatisticsInfo

    • DescribeDomainAccessStatus

    • DescribeFlowStatisticsInfo

    • DescribeDomainTotalCount

    • DescribeResponseCodeStatisticsInfo

    • DescribeDDosCreditThreshold

    • ModifyDomainClusterType

    • DescribeInstanceInfo

    • DescribeOutputDomains

    • CreateOutputDomain

    • DeleteOutputDomain

    • DeleteInstance

    • DescribeInstanceSpecInfo

    • DescribeDomainBasicConfigs

    如果您希望刪除該AliyunServiceRoleForCDNAccessingWAF角色,您需要 提交工單刪除CDN WAF執行個體,關閉所有網域名稱的CDN WAF功能,然後才能在RAM中刪除該SLR。