全部產品
Search

搜尋本產品

    Web Application Firewall:網站防護最佳實務

    文件中心

    Web Application Firewall:網站防護最佳實務

    更新時間:Mar 25, 2025

    當您第一次完成網域名稱接入,面對網站防護設定時,可能會不知道從何下手。本文將引導您從不同情境、角色的視角快速熟悉Web Application Firewall(Web Application Firewall,簡稱WAF)的防護模組選擇和防護原則設定,協助您從自己最關心的需求入手,瞭解WAF的防護邏輯。

    前提條件

    已完成網站接入。更多資訊,請參見添加網域名稱

    使用前須知

    本文所有描述建立在您已經開通了相關防護功能的基礎上。如果您還沒有啟用推薦的防護功能,您可以參考功能描述文檔開啟並設定對應功能。

    除特殊說明外,本文推薦的防護設定均在網站防護頁面完成。您可以參照以下步驟訪問網站防護頁面。

    1. 登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地非中國內地)。

    2. 在左側導覽列,選擇防護配置 > 網站防護

    3. 網站防護頁面上方,切換到要設定的網域名稱。切換網域名稱

    概述

    本文從以下不同角色視角或業務需求視角出發,提供了網站防護的設定建議。您可以選擇最貼近您自身實際需求的情境,瞭解相關的防護設定:

    我是新手,不懂安全,也沒有特殊需求

    您可能是基於等保要求或出於提升企業安全水位(達到預防目的)等考慮購買了Web Application Firewall。這種情況下,您可以在完成網站接入後直接使用WAF的預設防護設定,不做任何調整。WAF提供的預設防護能力足夠為網站抵禦絕大部分的基礎Web威脅。

    建議您多關注Web Application Firewall控制台總覽安全報表頁面,瞭解業務情況和攻擊情況。具體操作,請參見以下文檔:

    我是營運人員,希望業務安全平穩,出問題時可以快速排查問題

    針對您的需求,推薦您在完成網站接入後,為網站設定以下防護功能:

    • 網站白名單:設定網站訪問白名單,直接允許存取滿足條件的請求,不進行任何防護檢測。

      操作導航:單擊網站防護頁面右上方的網站白名單,完成相關設定。具體操作,請參見設定網站白名單網站白名單

      您也可以設定具體防護模組的白名單,只加白部分防護模組,這樣防護會更加精確。具體操作,請參見以下文檔:

      • Web入侵防護白名單:可以讓滿足條件的請求不經過規則防護引擎的檢測。
      • 資料安全白名單:可以讓滿足條件的請求不經過防敏感資訊泄露、網站防篡改、賬戶安全模組的檢測。
      • Bot管理白名單:可以讓滿足條件的請求不經過爬蟲威脅情報、Alibaba Antifraud Service、智能演算法、App防護模組的檢測。
      • 存取控制/限流白名單:可以讓滿足條件的請求不經過CC安全防護、IP黑名單、掃描防護、自訂防護原則模組的檢測。

    • IP黑名單:封鎖與業務不相關的IP地址和位址區段,以及指定地區地區的來源IP的訪問請求。例如,不存在外省IP訪問的地方政府論壇,可以將外省地區加入地區級黑名單;不存在非中國內地使用者的網站,可以將非中國內地地區加入地區級黑名單。

      操作導航:在網站防護頁面,單擊存取控制/限流頁簽,定位到IP黑名單地區,完成相關設定。具體操作,請參見設定IP黑名單

    • 自訂防護策略:為網站自訂存取控制(ACL)或訪問限流策略。例如,限制某些介面只允許特定IP或者UA訪問、限制某些特定類型請求的請求頻率不能過高等。您也可以通過自訂防護策略防護CC攻擊、爬蟲攻擊或者某些特殊的Web攻擊等。

      操作導航:在網站防護頁面,單擊存取控制/限流頁簽,定位到自訂防護策略地區,完成相關設定。具體操作,請參見設定自訂防護策略

    • 賬戶安全:協助您識別與賬戶關聯的業務介面(例如註冊、登入等)上發生的賬戶安全風險事件,具體包括撞庫、暴力破解、垃圾註冊、弱口令嗅探和簡訊驗證碼介面濫刷。

      操作導航:在網站防護頁面,單擊Web安全頁簽,定位到資料安全 > 賬戶安全地區,單擊前去配置,完成相關設定。具體操作,請參見設定賬戶安全

    我是專業的安全人員,需要做全面的Web入侵營運

    針對您的需求,推薦您在完成網站接入後,為網站設定以下防護功能:

    • 解碼設定:根據自身業務實際的編碼情況,設定需要WAF防護引擎進行解碼的內容格式,最大化地做到精確防護。選擇合適的解碼方式能夠協助WAF更好地識別流量。WAF預設應用全部13種解碼方式,您可以過濾不需要的方式,避免不必要的解析和可能的誤攔截。image.png

      操作導航:在網站防護頁面,單擊Web安全頁簽,定位到Web入侵防護 > 規則防護引擎地區,完成解碼設定。具體操作,請參見設定規則防護引擎

    • 防護規則群組:基於內建的防護規則集進行刪減,選擇最適合您業務系統形態、架構、中介軟體等實際情況的防護規則集合,使用這些規則自訂Web攻擊防護的防護規則群組,並將其應用到網站。建議您使用防護規則群組設定針對網站整體的Web入侵防禦策略。如果僅是針對單個URL的防護策略,建議您使用自訂防護策略。

      操作導航:訪問Web Application Firewall控制台系統管理 > 防護規則群組頁面,自訂Web攻擊防護的防護規則群組,並將自訂規則組應用到網站。具體操作,請參見自訂防護規則群組web攻擊防護預設規則群組

    • 自訂防護策略:為網站自訂存取控制(ACL)或訪問限流策略。例如,限制某些介面只允許特定IP或者UA訪問、限制某些特定類型請求的請求頻率不能過高等。您也可以通過自訂防護策略防護CC攻擊、爬蟲攻擊或者某些特殊的Web攻擊等。

      操作導航:在網站防護頁面,單擊存取控制/限流頁簽,定位到自訂防護策略地區,完成相關設定。具體操作,請參見設定自訂防護策略

    • 主動防禦警示模式):主動防禦基於對當前網域名稱流量的學習建立正常流量的模型,包括請求參數的類型、長度、是否必須等資訊。模型建成後,一旦發現請求不符合模型所描述的特徵即警示。主動防禦警示模式協助您更有效地發現業務中的異常和威脅。如果被檢測出來的請求對您的業務沒有意義,則可以開啟攔截模式。

      操作導航:在網站防護頁面,單擊Web安全頁簽,定位到進階防護 > 主動防禦地區,開啟狀態開關並將模式設定為警示。具體操作,請參見設定主動防禦

    • 掃描防護高頻Web攻擊封鎖目錄遍曆防護掃描工具封鎖協同防禦):掃描防護功能從情報、掃描器特徵、掃描行為檢測等多個維度,協助您更好地降低來自掃描器的威脅。

      操作導航:在網站防護頁面,單擊存取控制/限流頁簽,定位到掃描防護地區,開啟全部功能並設定合適的閾值。具體操作,請參見設定掃描防護

    我的業務需要嚴格的安全防護,有攻擊時寧可錯殺不可漏掉

    針對您的需求,推薦您在完成網站接入後,為網站設定以下防護功能:

    • 規則防護引擎嚴格規則群組

      操作導航:在網站防護頁面,單擊Web安全頁簽,定位到Web入侵防護 > 規則防護引擎地區,將防護規則群組設定為嚴格規則群組。具體操作,請參見設定自訂防護策略

    • 主動防禦攔截模式):主動防禦基於對當前網域名稱流量的學習建立正常流量的模型,包括請求參數的類型、長度、是否必須等資訊。模型建成後,一旦發現請求不符合模型所描述的特徵即警示。在高強度保護情境下,建議您直接開啟攔截模式。

      操作導航:在網站防護頁面,單擊Web安全頁簽,定位到進階防護 > 主動防禦地區,開啟狀態開關並將模式設定為攔截。具體操作,請參見設定主動防禦

    • 掃描防護高頻Web攻擊封鎖目錄遍曆防護掃描工具封鎖協同防禦):掃描防護功能從情報、掃描器特徵、掃描行為檢測等多個維度,協助您更好地降低來自掃描器的威脅。

      操作導航:在網站防護頁面,單擊存取控制/限流頁簽,定位到掃描防護地區,開啟全部功能並設定合適的閾值。具體操作,請參見設定掃描防護

    • IP黑名單:封鎖與業務不相關的IP地址和位址區段,以及指定地區地區的來源IP的訪問請求。例如,不存在外省IP訪問的地方政府論壇,可以將外省地區加入地區級黑名單;不存在非中國內地使用者的網站,可以將非中國內地地區加入地區級黑名單。

      操作導航:在網站防護頁面,單擊存取控制/限流頁簽,定位到IP黑名單地區,完成相關設定。具體操作,請參見設定IP黑名單

    我的業務經常受到爬蟲騷擾或面臨資料泄露、被篡改的風險

    針對您的需求,推薦您在完成網站接入後,為網站設定以下防護功能:

    • Alibaba Antifraud Service:Alibaba Antifraud Service適合防護針對特定介面發出的機器流量(例如指令碼、自動化工具等),例如登入、註冊、下單等情境。

      說明

      Alibaba Antifraud Service依賴於JS注入,只適用於網頁環境。請不要在App中啟用該功能。

      操作導航:在網站防護頁面,單擊Bot管理頁簽,定位到Alibaba Antifraud Service地區,完成相關設定。具體操作,請參見設定Alibaba Antifraud Service

    • 防敏感資訊泄露:協助您過濾伺服器返回內容(異常頁面或關鍵字)中的敏感資訊,如社會安全號碼、銀行卡號、電話號碼和禁用語等,進行打碼顯示。

      操作導航:在網站防護頁面,單擊Web安全頁簽,定位到資料安全 > 防敏感資訊泄露地區,完成相關設定。具體操作,請參見設定防敏感資訊泄露

    • 網站防篡改:協助您鎖定需要保護的網站頁面,被鎖定的頁面在收到請求時,返回已設定的快取頁面面。

      操作導航:在網站防護頁面,單擊Web安全頁簽,定位到資料安全 > 網站防篡改地區,完成相關設定。具體操作,請參見設定網站防篡改

    • 自訂防護策略:例如您可以針對某些經常被爬取的靜態頁面一鍵開啟JS驗證,攔截大多數指令碼和自動化程式。您也可以基於精細化的頻率控制對訪問過快的session等開啟滑塊校正。

      操作導航:在網站防護頁面,單擊存取控制/限流頁簽,定位到自訂防護策略地區,完成相關設定。具體操作,請參見設定自訂防護策略

    • 賬戶安全:協助您識別與賬戶關聯的業務介面(例如註冊、登入等)上發生的賬戶安全風險事件,具體包括撞庫、暴力破解、垃圾註冊、弱口令嗅探和簡訊驗證碼介面濫刷。

      操作導航:在網站防護頁面,單擊Web安全頁簽,定位到資料安全 > 賬戶安全地區,單擊前去配置,完成相關設定。具體操作,請參見設定賬戶安全

    • 合法爬蟲:提供合法搜尋引擎白名單(例如Google、Bing、百度、搜狗、Yandex等),方便您為網域名稱設定允許存取合法爬蟲的訪問請求。

      操作導航:在網站防護頁面,單擊Bot管理頁簽,定位到合法爬蟲地區,完成相關設定。具體操作,請參見設定合法爬蟲規則

    • 爬蟲威脅情報:提供撥號池IP、IDC機房IP、惡意掃描工具IP以及雲端即時模型產生的惡意爬蟲庫等多種維度爬蟲威脅情報規則,方便您在全網域名稱或指定路徑下設定阻斷惡意爬蟲的訪問請求。

      操作導航:在網站防護頁面,單擊Bot管理頁簽,定位到爬蟲威脅情報地區,完成相關設定。具體操作,請參見設定爬蟲威脅情報規則

    • App防護:專門針對原生App端,提供可信通訊、防機器指令碼濫刷等安全防護,可以有效識別代理、模擬器、非法簽名的請求。

      操作導航:在網站防護頁面,單擊Bot管理頁簽,定位到App防護地區,完成相關設定。具體操作,請參見設定App防護