重保情境防護最佳實務
重要節假日、攻防演練或重要活動保障期間,Web應用對於攻擊的容忍度極低。為應對這種情況,您可以通過配置基礎防護和重保情境防護策略,制定更加精準和定製化的防禦模式,提升特定時間段的防護效果。本文介紹如何配置重保期間的防護策略。
前提條件
-
已開通訂用帳戶版WAF 3.0或隨用隨付版WAF 3.0服務。
-
已開通重保情境防護功能。具體操作,請參見重保情境防護。
配置流程
步驟一:確保資產已全部接入WAF
在配置重保期間的防護策略前,首先要確認Web應用資產是否已全部接入WAF。您可以通過資產中心,排查相關情況。更多資訊,請參見網域名稱資產中心。
-
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
-
在左側導覽列,單擊資產中心。
-
在概覽頁簽的資產列表,查看主網域名稱的未防護子網域名稱數。
-
若未防護子網域名稱數為0,表示該主網域名稱下的子網域名稱均已接入WAF防護。
-
若未防護子網域名稱數不為0,表示該主網域名稱下存在未接入WAF防護的子網域名稱。
-
單擊主網域名稱左側的
表徵圖,定位到配置狀態為未接入的子網域名稱,單擊子網域名稱操作列的接入。 -
在接入管理頁面,將子網域名稱接入WAF。具體操作,請參見通過CNAME接入為網站開啟WAF防護。
-
-
步驟二:設定來源站點保護原則
通過CNAME接入方式將網站接入WAF後,網站訪問請求經過WAF檢測,正常流量會被轉寄回來源站點。重保期間,為避免駭客擷取您的來源站點IP並繞過WAF直接攻擊來源站點,您可以設定來源站點伺服器的存取控制策略,只允許存取WAF回源IP段的入方向流量。
-
在左側導覽列,單擊接入管理。
-
在CNAME接入頁簽,單擊Web Application Firewall回源IP網段列表。在回源IP段對話方塊,單擊複製。
-
配置來源站點存取控制策略,允許存取步驟2複製的IP網段。具體操作,請參見步驟三:設定ECS安全性群組規則或步驟四:設定SLB存取控制。
步驟三:設定允許訪問來源站點的範圍
重保期間,可配置地區封鎖策略,封鎖非業務訪問地區的請求;也可通過IDC封鎖,封鎖來自IDC或者雲廠商的請求源IP。針對有夥伴、業務聯動等業務需要情境,您也可以單獨加白該請求源IP。具體操作,請參見白名單。
地區封鎖
-
在左側導覽列,選擇。
-
定位到地區封鎖地區,建立或編輯已有規則模板。
-
在地區封鎖規則配置面板,定位到選擇封鎖地區,選中所有非業務訪問地區,配置規則動作和生效對象後,單擊確定。
IDC和雲廠商封鎖
-
在左側導覽列,選擇
-
單擊情境化防護頁簽,建立或編輯已有規則模板。
-
在防護情境定義設定精靈,設定防爬保護目標的基礎資訊,並單擊下一步。
-
在防護規則推薦設定精靈,去勾選所有配置項。定位到Bot威脅情報地區,選中IDC黑名單封鎖,勾選要封鎖的IP庫、配置規則動作後,單擊下一步。
-
選擇生效對象,單擊下一步,完成配置。
步驟四:配置基礎防護策略
重保期間,建議您將基礎防護策略中的防護動作設定為攔截,自動阻斷攻擊請求。
-
在左側導覽列,選擇
-
定位到Web 核心防護規則地區,建立或編輯已有規則模板。
-
在Web核心防護規則配置面板,確認生效對象已全量覆蓋,設定防護動作為攔截。
步驟五:檢查並配置掃描防護策略
重保期間,攻擊者會使用掃描工具對目標網站進行探測及漏洞掃描。為避免該種情況,您可以開啟掃描防護策略中的高頻掃描封鎖、目錄遍曆封鎖、掃描工具封鎖,減少攻擊者對來源站點資訊的擷取,甚至封鎖掉攻擊者IP的手動攻擊。
-
在左側導覽列,選擇
-
定位到掃描防護地區,建立或編輯已有規則模板。
-
在掃描防護規則配置面板,開啟高頻掃描封鎖、目錄遍曆封鎖、掃描工具封鎖,配置防護動作和生效對象。
步驟六:配置重保情境防護策略
重保防護情境策略提供專項的情境化能力,包括:重保威脅情報、重保防護規則群組、重保IP黑名單、shiro還原序列化漏洞防護。您可以參考如下步驟配置重保情境防護策略。
-
在左側導覽列,選擇。
-
在防護模板頁簽,建立或編輯已有規則模板。
-
在重保防護模板面板,完成以下配置。
-
配置基本資料。完成後,單擊下一步。
配置項
說明
模板名稱
為該模板設定一個名稱。
長度為1~255個字元,支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
防護規則
配置要應用的防護規則並配置規則動作。
-
重保威脅情報:攻防對抗惡意IP情報,精準識別攻擊者。預設開啟,且防護動作配置為觀察。
-
重保防護規則群組:基於智能防護模型,針對每個使用者產生精準的防護規則集合。預設開啟,且防護動作配置為觀察。
-
重保IP黑名單:開啟該功能,WAF會觀察或攔截來自特定IP地址或位址區段的請求,支援下發50,000條自訂IP或IP段黑名單。
-
Shiro還原序列化漏洞防護:開啟該功能,WAF會基於cookie加密技術防護Apache Shiro Java還原序列化漏洞。
生效對象
從已添加的配置防護對象和防護對象組中,選擇要應用該模板的配置防護對象和防護對象組。
-
-
如果配置基本資料時,開啟重保IP黑名單防護規則,則需要通過以下方式配置IP黑名單。完成後,單擊下一步。
配置項
操作
新增IP黑名單
單擊新增IP黑名單,可手動添加IP黑名單。
-
在IP黑名單文字框,輸入要加入黑名單的IP,斷行符號儲存。
說明IP黑名單為IPv6或CIDR掩碼格式的位址區段,多個地址之間用斷行符號或英文逗號分隔,最多配置500個。
-
設定生效截止時間。可選項:
-
永久生效。
-
自訂。單擊時間選取器,指定具體的生效截止時間。
-
-
在備忘文字框,輸入備忘資訊後,單擊確定。
成功新增黑名單後,您可在IP黑名單配置面板查看新增的IP黑名單。
匯入IP黑名單
單擊匯入IP黑名單,可大量匯入IP黑名單。
-
單擊上傳檔案,選擇要匯入的IP黑名單檔案。
重要-
支援上傳CSV格式檔案。
-
支援匯入IPv4和IPv6格式的地址和位址區段。
-
每條規則可匯入一個檔案,每個檔案最多支援2000個IP/IP段,一個IP段佔用1個計數單元,單次匯入的檔案大小不能超過1 MB。
-
有大批量IP匯入的情況下,可分多次匯入。
-
-
設定生效截止時間。可選項:
-
永久生效。
-
自訂。單擊時間選取器,指定具體的生效截止時間。
-
-
在備忘文字框,輸入備忘資訊後,單擊確定。
成功新增黑名單後,您可在IP黑名單配置面板查看新增的IP黑名單。
清空所有IP
如果已添加IP的請求不再需要被攔截,您可以單擊清空所有IP,刪除所有IP。
清空到期IP
如果已添加IP的生效截止時間已到期,您可以單擊清空到期IP,清空所有到期IP。
-
-
相關文檔
-
如果您希望通過識別用戶端訪問請求的來源區域,一鍵封鎖來自特定地區的訪問或者允許特定地區的訪問,解決部分地區高發的惡意請求問題,請參見設定地區封鎖規則封鎖特定地區請求。
-
如果您希望通過設定Bot管理的網頁防爬情境化規則,防禦通過瀏覽器訪問網頁或H5頁面(包括App中使用的H5頁面)等的爬蟲風險,請參見設定網頁防爬情境化規則防禦網頁爬蟲。
-
如果您希望通過識別掃描行為和掃描器特徵,阻止攻擊者或掃描器對網站的大規模掃描行為,協助Web業務降低被入侵的風險並減少掃描帶來的垃圾流量,請參見掃描防護。