通過Web Application Firewall(Web Application Firewall,簡稱WAF)的防護配置模組,可以組合使用Web核心防護規則、CC防護、Bot管理等多種防護模組,有效抵禦SQL注入、XSS跨站、CC攻擊、惡意爬蟲等各類網路攻擊。
工作原理
防護對象與防護對象組:每個接入 WAF 的網域名稱或雲產品執行個體,系統會為其自動建立一個防護對象。可以將多個防護對象加入一個防護對象組,以便集中管理。
防護模組:WAF提供Web核心防護、API安全、Bot管理等多種防護模組。通過在防護模組中建立防護模板使其生效,建議按實際業務需求啟用防護模組。
防護模板:防護模板是防護規則的集合,用於定義具體的規則內容和作用範圍。其由以下三部分組成:模板類型、防護規則、生效對象。
模板類型:部分防護模組擁有預設防護模板與自訂防護模板兩種模板類型,初始建立的預設防護模板無需設定生效對象,預設對所有與後續新增的防護對象生效。
防護規則:定義具體的檢測邏輯和響應措施。
生效對象:指定防護模板的應用目標。通過生效對象設定,將防護規則應用到指定的防護對象或防護對象組。
配置流程
將資源接入WAF後,系統自動產生防護對象。可以前往頁面進行查看。
根據業務防護需求,選擇合適的防護模組,以自定义规则防護模組為例,需建立防護模板。具體操作,請參見建立防護模板。
建立模板後,需在模板中建立防護規則。具體操作,請參見在防護模板中添加防護規則。
最後,選擇防護對象,作為防護模板的生效對象。具體操作,請參見設定防護模板生效對象。
支援的防護模組
不同WAF版本支援的防護模組存在差異,例如訂用帳戶基礎版不支援洪峰限流模組,更多差異資訊請參考版本說明。
Web 核心防護類-常用
防護模組 | 適用情境與配置建議 | 初始狀態 |
基於阿里雲安全內建的防護規則集 ,有效防禦SQL注入、XSS跨站、代碼執行、WebShell上傳、命令注入等常見的Web應用攻擊。 建議保持預設配置,僅在其出現誤攔截時進行調整。 | 存在初始預設防護模板 ,且預設啟用,採用攔截模式。 接入WAF的資源預設受到此模組防護,自動攔截攻擊請求。 | |
防護規則群組(僅限舊版本WAF) 說明 此模組已升級迭代為引擎配置功能,詳見【公告】。 | 被Web核心防護規則引用的規則群組,建議保持預設配置。 | 存在中等、嚴格、寬鬆規則群組。預設啟用中等規則群組。當出現誤攔截或漏攔截的請求時,可以手動切換啟用的規則群組。 |
當您已確定某些IP地址存在頻繁的惡意請求時,建議將其加入IP黑名單。 | 無初始防護模板。 | |
當需精確防護特定攻擊(如惡意調用、惡意請求、高頻掃描)時,可使用自訂規則,通過靈活的匹配條件和規則動作,構建個人化防護策略。 | ||
當檢測到攻擊源自某一地區,且該地區無正常業務使用者時,可一鍵封鎖該地區的所有用戶端IP地址。 | ||
通過識別掃描行為和掃描器特徵,阻止攻擊者或掃描器對網站的大規模掃描行為,緩解被入侵風險和掃描帶來的垃圾流量。 | 僅訂用帳戶進階版、企業版及旗艦版存在預設開啟的初始預設防護模板。其他版本無初始防護模板。 | |
基於內建的通用CC防護演算法,緩解CC攻擊。建議搭配使用自訂規則以實現更佳的CC防護效果。 |
Web 核心防護類-其他
防護模組 | 適用情境與配置建議 | 初始狀態 |
當請求被WAF攔截時,可以自訂WAF返回給用戶端的攔截頁面樣式和內容。 | 無初始防護模板。 | |
鎖定需要保護的網站頁面,防止頁面被惡意篡改;被鎖定的頁面在收到請求時,將返回已設定的快取頁面面。 | ||
過濾伺服器返回內容(異常頁面或關鍵字)中的敏感資訊,如社會安全號碼、銀行卡號等,進行脫敏顯示。 | ||
基於URL、地區等條件設定限流比例或QPS閾值,適用於應對大促活動等流量突增情境,保障來源站點的可用性。 |
白名單
適用情境與配置建議:白名單功能模組與其他防護模組不同,用於允許存取具有指定特徵的請求。啟用後,合格請求可跳過全部或特定防護模組的檢測。建議將已知可信的請求(如營運人員的IP地址)加入白名單。
初始狀態:該模組存在初始預設範本(未定義任何規則),且預設處於啟用狀態。
進階防護功能類
防護模組 | 適用情境與配置建議 | 初始狀態 |
當業務依賴大量 API(如 App、小程式後端),且擔心未授權訪問、敏感性資料泄露或內部介面暴露時,建議開通 API 安全,自動梳理 API 資產、識別風險,並提供處置建議與合規參考。 | 不涉及。 | |
自動化工具常引發資料爬取、業務作弊、垃圾註冊、惡意秒殺、薅羊毛及簡訊介面濫刷等問題。開通Bot管理後,可基於流量分析制定精準防護策略,有效保護核心資料資產、降低伺服器負載。 | 無初始防護模板。 | |
支援特定時間段的重大活動安全保障,提供更加精準和定製化的防禦模式。 | ||
當 AI 應用面向公網提供服務,且需防範提示詞注入、不合規資訊產生時,建議開通 AI 應用防護,自動識別高風險請求、阻斷攻擊行為,保障模型輸出的安全合規。 |
一鍵關閉WAF防護功能
當需要臨時關閉WAF防護時,可以在WAF控制台的防护对象頁面中,關閉右上方WAF防护状态開關。如下圖所示。
當開關關閉時,接入網站的流量會臨時繞行WAF防護引擎,並不再記錄日誌。在完成應急測試等需要臨時關閉WAF的操作後,推薦儘快開啟此開關,減少您資產的暴露風險。
計費提示:對於隨用隨付版WAF,關閉此開關後仍會收取功能費、基礎流量費及API安全流量費(若已啟用API安全)。
API安全記事:API安全模組的檢測流程不受此開關影響。
不支援的功能:通過雲產品接入方式接入的微服務引擎(MSE)與Function Compute(FC)執行個體不支援此功能。對於混合雲接入,需要達到指定版本以使用此功能,詳情請諮詢您的商務經理。
通過模板類型靈活管理多個防護模板
當需要為不同的防護對象配置獨立的防護規則時,可以通過在防護模組下定義多個防護模板來實現精細化控制。為了高效管理這些模板,建議您瞭解兩種模板類型:預設防護模板 和 自訂防護模板。
模板類型 | 說明 | 適用情境 |
預設防護模板 |
| 部署通用的、需全域執行的防護規則。 |
自訂防護模板 | 必須手動指定其生效的防護對象或對象組。 | 針對特定業務(如登入、支付介面)部署精細化的防護規則。 |
若某防護對象不在任何模板中(全部模板中均為“未生效”),則意味著其不受WAF防護。
預設防護模板帶有
Default標記,無此標記的模板均為自訂防護模板。
支援預設防護模板的防護模組:Web核心防護規則、白名單、IP黑名單、自訂規則、CC防護、自訂響應、掃描防護、地區封鎖、洪峰限流。
不支援預設防護模板的防護模組:建立的模板均為自訂模板類型,需要手動指定生效對象。
單防護對象多模板疊加支援
以下防護模組還支援為單個防護對象/對象組關聯多個防護模板:
白名單、IP黑名單、自訂規則、Bot管理防護模組、提示詞攻擊防護。
在這些模組中,為自訂防護模板添加或移除防護對象時,不會影響預設範本的生效範圍。
例如,在 Web核心防護規則 等不支援多模板疊加的模組中,若將某對象關聯到自訂模板,則其將自動從預設範本中移除。
樣本一:Web核心防護規則僅觀察新接入的防護對象
以Web 核心防护规则模組為例:該模組擁有初始預設防護模板(规则动作為拦截),直接應用於所有新接入WAF防護的對象。
若希望對後續新接入WAF的對象僅採用觀察模式(不攔截攻擊請求,只記錄請求命中了規則),而對已接入WAF的對象採用攔截模式,則可以按以下方式配置。
將預設防護模板的规则动作設定為观察。
建立一個Web核心防護規則模板(自訂防護模板),將該模板的规则动作設定為拦截,並將生效对象設定為已接入WAF防護的所有防護對象。
樣本二:為某防護對象配置個人化白名單
以白名單模組為例:該模組擁有初始預設防護模板(未定義任何規則)。防護模板預設啟用。
若希望對所有接入WAF的防護對象配置白名單規則,允許存取IP1,且某一防護對象不僅要允許存取IP1,還需要允許存取IP2,則可以按以下方式配置。
在預設範本中設定規則,允許存取
IP1,所有防護對象/組預設勾選為生效。建立一個白名單模板(自訂防護模板),允許存取
IP2,並將生效对象設定為某特定的防護對象。
常見問題
什麼時候需要手動設定防護對象?
在以下情況下,需手動設定防護對象:
使用雲產品接入,且多個網域名稱解析指向了同一個雲產品執行個體時,若希望單獨為這些網域名稱配置不同的防護規則,須手動將各網域名稱添加為防護對象,詳細資料,請參見手動添加防護對象。
需修改WAF下發cookie,WAF解碼,帳號提取等進階功能時,需手動設定防護對象,詳細資料,請參見配置防護對象的進階防護行為。
如何查看防護是否生效?(查看防護對象生效的防護模組)
前往防护对象頁面,單擊目標對象名稱操作列的查看防护规则,在Web 核心防护頁面,查看防護對象已配置的防護規則。若Web 核心防护頁面未出現配置的防護模板,說明配置未生效,需重新檢查防護模板生效對象。
正常的業務請求被誤攔截了怎麼辦?
前往頁面,根據請求時間、用戶端IP或訪問URL等資訊進行搜尋排查,確定請求命中的防護模組與規則。
若確定為誤判,可以前往頁面下方日誌列表地區,定位到具體的請求後,單擊操作列的误报屏蔽,建立白名單規則。
