全部產品
Search

搜尋本產品

    Web Application Firewall:資產中心

    文件中心

    Web Application Firewall:資產中心

    更新時間:Sep 03, 2025

    Web Application Firewall(Web Application Firewall,簡稱WAF)的資產中心功能協助您梳理阿里雲雲上、雲下的網域名稱資產,並根據資產在雲上的攻擊態勢,進行風險等級評估,協助您掌握業務的整體防護狀態。您可以為風險等級較高的網域名稱資產開啟防護,提升整體安全防護水平。

    背景資訊

    網路應用資產是安全管理體系中最基礎的載體,同時也是業務系統中最基本的組成單元。隨著企業業務的高速發展,各類業務系統平台逐年增多,同時也存在員工私建網站、測試環境未及時回收等情況,導致可能產生大量“殭屍”資產。資訊安全領域存在典型的木桶效應,即安全防護的水位由企業最薄弱的一環決定。由於無人管理,“殭屍”資產往往使用了低版本的開源系統、組件、Web架構等,導致一些薄弱環節暴露在攻擊者的視野下,攻擊者可以利用這些網站作為“跳板”,繞過企業的網路邊界防護,進而使得整個企業內網淪陷。

    WAF資產識別功能通過擷取阿里雲網域名稱服務 (DNS)、Alibaba Cloud DNS、SSL認證等服務的配置資訊,結合巨量資料關聯分析能力,協助您主動發現雲上與雲下的網域名稱資產,為您提供全域資產視角,避免在安全防護中出現資產遺漏。同時,資產識別基於阿里雲預設Web攻擊檢測能力,結合威脅情報,為您計算出雲上網域名稱的安全分值,協助您發現被攻擊者關注的網域名稱,並支援為網域名稱開啟防護,避免網域名稱遭受入侵。

    說明

    資產識別支援檢測的網域名稱資源套件含阿里雲網域名稱和非阿里雲網域名稱,且非阿里雲網域名稱包括解析至非阿里雲伺服器的網域名稱和線下IDC機房使用的網域名稱。

    步驟一:訪問資產中心並授權WAF訪問雲資源

    1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地

    2. 在左側導覽列,單擊资产中心

    3. 资产中心頁面,單擊立即開啟

      說明

      使用WAF期間,您只需執行一次授權操作。如果您已經授權過,可跳過該步驟。

      • 首次開通資產中心後,阿里雲將自動為您建立WAF服務關聯角色(AliyunServiceRoleForWAF)。您可以登入RAM控制台,查看阿里雲為WAF自動建立的服務關聯角色。具體操作,請參見查看RAM角色

        只有建立服務關聯角色AliyunServiceRoleForWAF後,您的WAF執行個體才能訪問Elastic Compute Service、Server Load Balancer、Alibaba Cloud DNS、CDN、數位憑證管理服務、Log ServiceSLS等關聯雲端服務的資源。

      • 擷取WAF訪問雲資源的授權後,WAF將自動檢測與您的阿里雲帳號相關的網域名稱資產,並在资产中心頁面展示檢測到的網域名稱資產資訊。

        說明

        資產中心支援識別的網域名稱資源套件含阿里雲網域名稱和非阿里雲網域名稱,非阿里雲網域名稱包括解析至非阿里雲伺服器的網域名稱和線下IDC機房使用的網域名稱。

        為了使資產中心的識別結果更準確,WAF預設開啟主動指紋掃描。針對已接入WAF的資產,採用被動流量學習和主動探測的方式識別資產指紋。主動指紋掃描每兩周進行一次,建議您保持開關的開啟狀態。

    步驟二:添加資產

    如果您關注的主網域名稱資產未在資產列表中,您可以通過添加資產,手動添加主網域名稱。

    1. 资产中心概览頁簽,單擊添加资产

    2. 添加资产對話方塊,填寫網站網域名稱,並完成網域名稱的歸屬權驗證。

      驗證網域名稱歸屬權

      為確認您對網域名稱的所有權,需完成歸屬權驗證。支援以下兩種驗證方式,任選其一即可:

      • DNS解析驗證:在您的網域名稱解析服務位址,手動添加WAF提供的TXT類型解析記錄。推薦使用此方式。

      • 檔案驗證:將WAF提供的驗證檔案上傳至標題來源站伺服器的指定根目錄,需擁有來源站點伺服器操作許可權。

      DNS解析驗證

      1. 在驗證提示地區,單擊方法1:DNS解析驗證頁簽。

      2. 根據WAF控制台提供的記錄類型主機記錄記錄值,在您的網域名稱解析服務商添加TXT記錄。

        若您使用阿里雲Alibaba Cloud DNS,請參考以下步驟操作;若使用其他網域名稱解析服務商,請在其系統中進行類似配置。

        1. 登入Alibaba Cloud DNS控制台

        2. 公網權威解析頁面,找到目標主網域名稱,並單擊右側的解析設定

        3. 單擊添加記錄,填寫記錄類型主機記錄記錄值後,單擊確定。其餘未提及參數保持預設即可。

          配置項

          說明

          填寫範例

          記錄類型

          選擇TXT

          TXT

          主機記錄

          主機記錄指網域名稱的首碼。

          verification

          記錄值

          輸入WAF產生的記錄值。

          verify_8fca29dec22746a7841daf2b3af6****

          添加完成後,您可以在記錄列表中查看已添加的記錄。該記錄預設生效(狀態啟用)。

      3. 等待TXT解析生效。網域名稱首次配置TXT解析記錄後將即時生效,但修改TXT解析記錄通常會在10分鐘後生效(生效時間取決於網域名稱DNS解析配置的TTL時間長度,預設為10分鐘)。

      4. 返回WAF控制台,單擊“點擊驗證”。

        • 顯示驗證成功:網域名稱歸屬權驗證完成。

        • 顯示驗證失敗:請按以下步驟排查:

          1. 檢查TXT記錄:確保添加的主機記錄和記錄值與WAF控制台提供的資訊完全一致。如有差異,請刪除錯誤記錄並重新添加,然後重新驗證。

          2. 等待DNS生效:DNS記錄配置後可能不會立即生效,生效時間取決於您網域名稱伺服器中設定的TTL緩衝時間。建議等待10分鐘後重新驗證。

          3. 更換驗證方式:如多次嘗試仍無法通過驗證,建議使用"方法2:檔案驗證"。

      檔案驗證

      1. 在驗證提示地區,單擊方法2:檔案驗證頁簽。

      2. 單擊下載驗證檔案連結(圖示①),下載驗證檔案。image..png

        重要

        • 驗證檔案僅在下載後的3天內有效,如果您逾期未完成檔案驗證,則需要重新下載。

        • 請勿對驗證檔案執行任何操作,例如開啟、編輯、重新命名等。

        • WAF將根據選擇的協議類型訪問您的來源站點伺服器,請確保來源站點伺服器允許存取了對應的安全性群組或防火牆規則:

          • 選擇HTTP時,需要允許存取入方向TCP協議80連接埠,訪問來源為0.0.0.0/0。

          • 選擇HTTPS時,需要允許存取入方向TCP協議443連接埠,訪問來源為0.0.0.0/0。

      3. 手動將驗證檔案上傳到控制台提示的標題來源站伺服器(例如您的ECS、OSS、CVM、COS、EC2等)根目錄(圖示②)。

        說明

        如果您添加的網域名稱為萬用字元網域名稱,例如*.aliyun.com,那麼您需要將驗證文檔上傳到aliyun.com的根目錄。

        上傳完成後,你可以參考如下方法,查看驗證文檔是否上傳成功。

      4. 返回WAF控制台,單擊“點擊驗證”。

        • 顯示驗證成功:網域名稱歸屬權驗證完成。

        • 顯示驗證失敗:請根據報錯資訊進行排查:

          問題描述

          解決方案

          無法訪問網域名稱

          1. 檢查網域名稱 DNS 解析,確儲存在指向來源站點伺服器的解析記錄。以阿里雲Alibaba Cloud DNS為例,操作請參見添加解析記錄

          2. 檢查來源站點伺服器安全性群組或防火牆規則,確保允許存取公網訪問請求。以ECS安全性群組為例,操作請參見添加安全性群組規則

          驗證檔案不存在

          重新在標題來源站伺服器中上傳驗證檔案。

          檔案內容不正確

          1. 前往您網域名稱的來源站點伺服器,刪除不正確的驗證檔案。

          2. 重新上傳驗證檔案。

    3. 完成上述配置後,單擊添加

    說明

    手動添加資產後,資產中心列表會在T+1顯示添加的資產。

    步驟三:查看資產

    资产中心頁面,查看網域名稱資產的詳細資料。

    資產中心

    資料類型

    說明

    相關操作

    網域名稱資產資料(圖示①地區)

    展示您的阿里雲帳號相關的網域名稱資產資料,包括主網域名稱數、子網域名稱數及較昨日變化數、未防護子網域名稱數(包括未防護高風險網域名稱數、中風險網域名稱數和低風險網域名稱數)。

    網域名稱資產詳情(圖示②地區)

    WAF將檢測發現的網域名稱資產根據主網域名稱進行彙總展示。每個主網域名稱包含以下資訊:

    • 主網域名稱:網站綁定的主網域名稱。

    • 解析IP:網站伺服器的IP地址、CNAME網域名稱地址。

    • 已防護子網域名稱數:已經接入WAF防護的子網域名稱的數量。

    • 未防護子網域名稱數:未接入WAF防護的子網域名稱的數量,包括對應的高風險、中風險、低風險的子網域名稱數量。

    • 在網域名稱資產列表上方的搜尋方塊,使用網域名稱關鍵字查詢指定主網域名稱。支援模糊查詢。

    • 在網域名稱資產列表,單擊某個主網域名稱左側的展開表徵圖,通過設定配置狀態、風險層級,篩選要子網域名稱。子網域名稱包含以下資訊:

      • 子域名:網站綁定的子網域名稱。

      • 解析IP:網站伺服器的IP地址、CNAME網域名稱地址。

      • 指纹:通過被動流量分析+主動指紋掃描,識別網站伺服器的指紋資訊。

        主動指紋探測開關在您授權資產中心後開啟,您可以通過網域名稱資產列表右上方的開關來修改主動指紋探測的開啟狀態。

      • 云上威胁等级:雲端式上近30天攻擊趨勢,結合威脅情報資料,評估該網域名稱的雲上風險等級。對於較高風險的網域名稱,建議您儘快將網域名稱接入WAF防護,以免網域名稱資產遭受入侵。

      • 配置状态:該網站網域名稱是否已接入WAF進行防護。具體包含以下狀態:

        • 未接入:網站網域名稱未接入WAF進行防護。您可以單擊操作列的接入,將該網域名稱接入WAF。具體操作,請參見通過CNAME接入為網站開啟WAF防護

        • 已接入:網站網域名稱已接入WAF進行防護,WAF檢測到網站流量且為網域名稱提供全面防護。

    • 單擊子網域名稱操作列的威胁详情,查看子網域名稱威脅資訊。

      說明

      僅訂用帳戶企業版或旗艦版的WAF執行個體支援該功能。

    步驟四:匯出資產

    1. 资产中心概览頁簽,選中需要匯出的主網域名稱,並單擊右上方的下載表徵圖,開啟網域名稱資產下載功能。

    2. 资产中心导出记录頁簽,單擊下载,下載網域名稱資產文檔。

      您匯出的檔案產生後會暫存在阿里雲上,三天后會自動刪除,請在有效期間內下載查看。

      說明

      主帳號支援下載資產列表,子帳號暫不支援該功能。