重保情境防護最佳實務

更新時間:
Copy as MD

重要節假日、攻防演練或重要活動保障期間,Web應用對於攻擊的容忍度極低。為應對這種情況,您可以通過配置基礎防護和重保情境防護策略,制定更加精準和定製化的防禦模式,提升特定時間段的防護效果。本文介紹如何配置重保期間的防護策略。

前提條件

配置流程

步驟一:確保資產已全部接入WAF

在配置重保期間的防護策略前,首先要確認Web應用資產是否已全部接入WAF。您可以通過資產中心,排查相關情況。更多資訊,請參見網域名稱資產中心

  1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地非中國內地

  2. 在左側導覽列,單擊資產中心

  3. 概覽頁簽的資產列表,查看主網域名稱的未防護子網域名稱數

    • 未防護子網域名稱數0,表示該主網域名稱下的子網域名稱均已接入WAF防護。

    • 未防護子網域名稱數不為0,表示該主網域名稱下存在未接入WAF防護的子網域名稱。

      1. 單擊主網域名稱左側的展開表徵圖,定位到配置狀態未接入的子網域名稱,單擊子網域名稱操作列的接入

      2. 接入管理頁面,將子網域名稱接入WAF。具體操作,請參見通過CNAME接入為網站開啟WAF防護

步驟二:設定來源站點保護原則

通過CNAME接入方式將網站接入WAF後,網站訪問請求經過WAF檢測,正常流量會被轉寄回來源站點。重保期間,為避免駭客擷取您的來源站點IP並繞過WAF直接攻擊來源站點,您可以設定來源站點伺服器的存取控制策略,只允許存取WAF回源IP段的入方向流量。

  1. 在左側導覽列,單擊接入管理

  2. CNAME接入頁簽,單擊Web Application Firewall回源IP網段列表。在回源IP對話方塊,單擊複製

  3. 配置來源站點存取控制策略,允許存取步驟2複製的IP網段。具體操作,請參見步驟三:設定ECS安全性群組規則步驟四:設定SLB存取控制

步驟三:設定允許訪問來源站點的範圍

重保期間,可配置地區封鎖策略,封鎖非業務訪問地區的請求;也可通過IDC封鎖,封鎖來自IDC或者雲廠商的請求源IP。針對有夥伴、業務聯動等業務需要情境,您也可以單獨加白該請求源IP。具體操作,請參見白名單

地區封鎖

  1. 在左側導覽列,選擇防護配置 > Web 核心防護

  2. 定位到地區封鎖地區,建立或編輯已有規則模板。

  3. 在地區封鎖規則配置面板,定位到選擇封鎖地區,選中所有非業務訪問地區,配置規則動作生效對象後,單擊確定

IDC和雲廠商封鎖

  1. 在左側導覽列,選擇防護配置 > BOT管理

  2. 單擊情境化防護頁簽,建立或編輯已有規則模板。

  3. 防護情境定義設定精靈,設定防爬保護目標的基礎資訊,並單擊下一步

  4. 防護規則推薦設定精靈,去勾選所有配置項。定位到Bot威脅情報地區,選中IDC黑名單封鎖,勾選要封鎖的IP庫、配置規則動作後,單擊下一步

  5. 選擇生效對象,單擊下一步,完成配置。

步驟四:配置基礎防護策略

重保期間,建議您將基礎防護策略中的防護動作設定為攔截,自動阻斷攻擊請求。

  1. 在左側導覽列,選擇防護配置 > Web 核心防護

  2. 定位到Web 核心防護規則地區,建立或編輯已有規則模板。

  3. Web核心防護規則配置面板,確認生效對象已全量覆蓋,設定防護動作攔截

步驟五:檢查並配置掃描防護策略

重保期間,攻擊者會使用掃描工具對目標網站進行探測及漏洞掃描。為避免該種情況,您可以開啟掃描防護策略中的高頻掃描封鎖目錄遍曆封鎖掃描工具封鎖,減少攻擊者對來源站點資訊的擷取,甚至封鎖掉攻擊者IP的手動攻擊。

  1. 在左側導覽列,選擇防護配置 > Web 核心防護

  2. 定位到掃描防護地區,建立或編輯已有規則模板。

  3. 在掃描防護規則配置面板,開啟高頻掃描封鎖目錄遍曆封鎖掃描工具封鎖,配置防護動作生效對象

步驟六:配置重保情境防護策略

重保防護情境策略提供專項的情境化能力,包括:重保威脅情報、重保防護規則群組、重保IP黑名單、shiro還原序列化漏洞防護。您可以參考如下步驟配置重保情境防護策略。

  1. 在左側導覽列,選擇防護配置 > 重保情境防護

  2. 防護模板頁簽,建立或編輯已有規則模板。

  3. 在重保防護模板面板,完成以下配置。

    1. 配置基本資料。完成後,單擊下一步

      配置項

      說明

      模板名稱

      為該模板設定一個名稱。

      長度為1~255個字元,支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。

      防護規則

      配置要應用的防護規則並配置規則動作。

      • 重保威脅情報:攻防對抗惡意IP情報,精準識別攻擊者。預設開啟,且防護動作配置為觀察

      • 重保防護規則群組:基於智能防護模型,針對每個使用者產生精準的防護規則集合。預設開啟,且防護動作配置為觀察

      • 重保IP黑名單:開啟該功能,WAF會觀察或攔截來自特定IP地址或位址區段的請求,支援下發50,000條自訂IPIP段黑名單。

      • Shiro還原序列化漏洞防護:開啟該功能,WAF會基於cookie加密技術防護Apache Shiro Java還原序列化漏洞。

      生效對象

      從已添加的配置防護對象和防護對象組中,選擇要應用該模板的配置防護對象和防護對象組。

    2. 如果配置基本資料時,開啟重保IP黑名單防護規則,則需要通過以下方式配置IP黑名單。完成後,單擊下一步

      配置項

      操作

      新增IP黑名單

      單擊新增IP黑名單,可手動添加IP黑名單。

      1. IP黑名單文字框,輸入要加入黑名單的IP,斷行符號儲存。

        說明

        IP黑名單為IPv6CIDR掩碼格式的位址區段,多個地址之間用斷行符號或英文逗號分隔,最多配置500個。

      2. 設定生效截止時間。可選項:

        • 永久生效

        • 自訂。單擊時間選取器,指定具體的生效截止時間。

      3. 備忘文字框,輸入備忘資訊後,單擊確定

        成功新增黑名單後,您可在IP黑名單配置面板查看新增的IP黑名單。

      匯入IP黑名單

      單擊匯入IP黑名單,可大量匯入IP黑名單。

      1. 單擊上傳檔案,選擇要匯入的IP黑名單檔案。

        重要
        • 支援上傳CSV格式檔案。

        • 支援匯入IPv4IPv6格式的地址和位址區段。

        • 每條規則可匯入一個檔案,每個檔案最多支援2000IP/IP段,一個IP段佔用1個計數單元,單次匯入的檔案大小不能超過1 MB。

        • 有大批量IP匯入的情況下,可分多次匯入。

      2. 設定生效截止時間。可選項:

        • 永久生效

        • 自訂。單擊時間選取器,指定具體的生效截止時間。

      3. 備忘文字框,輸入備忘資訊後,單擊確定

        成功新增黑名單後,您可在IP黑名單配置面板查看新增的IP黑名單。

      清空所有IP

      如果已添加IP的請求不再需要被攔截,您可以單擊清空所有IP,刪除所有IP。

      清空到期IP

      如果已添加IP的生效截止時間已到期,您可以單擊清空到期IP,清空所有到期IP。

相關文檔

  • 如果您希望通過識別用戶端訪問請求的來源區域,一鍵封鎖來自特定地區的訪問或者允許特定地區的訪問,解決部分地區高發的惡意請求問題,請參見設定地區封鎖規則封鎖特定地區請求

  • 如果您希望通過設定Bot管理的網頁防爬情境化規則,防禦通過瀏覽器訪問網頁或H5頁面(包括App中使用的H5頁面)等的爬蟲風險,請參見設定網頁防爬情境化規則防禦網頁爬蟲

  • 如果您希望通過識別掃描行為和掃描器特徵,阻止攻擊者或掃描器對網站的大規模掃描行為,協助Web業務降低被入侵的風險並減少掃描帶來的垃圾流量,請參見掃描防護