當業務面臨來自全球網路的自動化掃描、漏洞利用和匿名代理等惡意訪問時,手動維護大規模 IP 黑名單效率低下,且難以應對動態變化的攻擊源。Web Application Firewall(Web Application Firewall,簡稱WAF)的威脅情報功能,基於阿里雲全球多維度威脅資料,可自動識別並處置惡意 IP,在攻擊發生前構建主動防禦體系,顯著降低營運負擔,提升業務安全性。
適用範圍
版本要求:已開通訂用帳戶企業版、旗艦版或隨用隨付版WAF。
配置前提:已存在防護對象(已將Web業務接入WAF),若尚未將業務接入,請參見接入概述。
接入形態限制:不支援Function ComputeFC,MSE需升級至2.0.18版本及以上,APIG需升級至2.1.13版本及以上。
關鍵概念
威脅情報:WAF的防護模組之一,用於自動識別並阻斷全球範圍內的Web攻擊源IP地址,無需手動設定複雜規則。需通過建立威脅情報防護模板啟用此模組,系統支援建立多個模板。
防護模板:模板是規則的集合,用於定義具體的規則內容和作用範圍。其由以下三部分組成:模板類型、防護規則、生效對象。
模板類型:模板建立時需指定類型,且建立後不可更改。模板類型分為以下兩種:
模板類型
說明
適用情境
預設範本
模板建立時,預設對所有防護對象和對象組生效,後續新增的對象也自動生效。
支援手動將特定對象排除(設定為“未生效”)。
在威脅情報模組下,僅能建立一個預設範本。
部署通用的、需全域執行的規則。
自訂模板
必須手動指定其生效的防護對象或對象組。
針對特定業務部署精細化的規則。
防護規則:定義具體的檢測邏輯和響應措施,每條規則由以下兩部分組成:
規則類型:定義檢測的威脅類型,支援网站扫描,漏洞利用,Tor地址。
規則動作:定義命中規則後的處置措施,規則動作的優先順序從高到低依次為:攔截、嚴格滑塊、滑塊、JS 驗證、觀察。
生效對象:指定模板的應用目標。通過生效對象設定,將防護規則應用到指定的防護對象或防護對象組。一個防護對象或對象組僅能關聯一個威脅情報模板。
防護對象:每個接入 WAF 的網域名稱或雲產品執行個體,系統會為其自動建立一個防護對象。
防護對象組:可將多個防護對象加入一個防護對象組,以便集中管理。
操作步驟
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地),在左側導覽列,選擇。
步驟一:配置威脅情報模板類型
在Web 核心防护頁面下方的威胁情报地區,單擊新建模板。在建立模板 - 威脅情報面板,完成以下配置。
模板名称:為該模板設定一個名稱。
是否设置为默认模板:威脅情報模組僅能設定一個預設範本,且僅能在建立模板時設定。
是:無需設定生效对象,模板建立時,預設對所有防護對象和對象組生效,後續新增的對象也自動生效。支援手動將特定對象排除(設定為“未生效”)。
否:需要設定生效对象,手動指定其生效的防護對象或對象組。
步驟二:配置防護規則
在规则配置地區,完成以下配置。
規則類型:按業務需求,選擇規則類型,防禦特定類型的攻擊。
規則類型
說明
网站扫描
此類IP地址通過自動化工具對網站進行探測,以識別技術架構、開放連接埠、潛在安全性漏洞或收集其他相關資訊。
漏洞利用
此類IP地址利用Web應用中的安全性漏洞執行惡意操作,實施未授權訪問,並可能造成破壞性後果。
Tor地址
此類IP地址為Tor網路的出口節點,代表經由Tor網路匿名訪問互連網的使用者流量,其通訊以該IP作為出口標識。
规则动作:選擇當請求命中規則時,要執行的防護動作。
配置項
說明
JS验证
WAF向用戶端返回一段JavaScript驗證代碼,標準瀏覽器將自動執行該代碼。若用戶端正常執行完成,則WAF在一段時間(預設30分鐘)內允許存取該用戶端的所有請求,否則攔截請求。
拦截
攔截命中規則的請求,並向發起請求的用戶端返回攔截響應頁面。
說明WAF預設使用統一的攔截響應頁面,也可以通過自訂響應功能,自訂攔截響應頁面。
观察
不攔截命中規則的請求,僅通過日誌記錄請求命中的情況。在試運行規則時,可以先通過观察模式分析WAF日誌,以確認未產生誤攔截,再將其調整為其他規則動作。
滑块
WAF向用戶端返回滑動驗證頁面。若用戶端成功完成滑動驗證,則WAF在一段時間(預設30分鐘)內允許存取該用戶端的所有請求,否則攔截請求。
严格滑块
WAF向用戶端返回滑動驗證頁面。若用戶端成功完成滑動驗證,則允許存取該請求;否則攔截請求。在此模式下,用戶端每次命中該規則的請求均需進行滑動驗證。
說明僅隨用隨付執行個體以及訂用帳戶企業版和旗艦版執行個體支援滑块驗證。
JS验证或滑块驗證僅適用於同步請求。對於XMLHttpRequest、Fetch方法等非同步請求,必須注入Web SDK,否則無法正常運行。具體操作,請參見Bot管理的JS校正和滑塊驗證功能。
啟用JS验证或滑块後,用戶端通過驗證時,WAF將在回應標頭中通過Set-Cookie 設定名為
acw_sc__v2(JS驗證)或acw_sc__v3(滑塊驗證)的 Cookie。用戶端在後續請求中會在 Cookie 頭中攜帶該標識。
高级设置(可選):
配置項
說明
规则灰度
配置規則針對不同維度對象的生效比例。
開啟規則灰階後,還需要設定维度和灰度比例。维度包括:IP、自定义Header、自訂參數、自定义Cookie、Session。
說明規則灰階根據配置的维度生效,而非對請求按比例隨機生效規則。例如,當维度為IP且灰度比例為10%時,WAF將選擇約10%的IP地址;被選中的IP地址,其所有請求均應用該規則,而非對所有請求按10%的比例隨機應用。
生效模式
永久生效(預設):防護模板開啟時,規則永久生效。
按时间段生效:防護規則僅在指定的一段時間內生效。
按周期生效:防護規則僅在指定的時間周期內生效。
步驟三:設定威脅情報模板生效對象
在生效对象地區,選擇要應用於該模板的防護對象和防護對象組。
模板的生效方式取決於在步驟一的配置:
設定為預設防護模板:無需設定生效對象,模板建立時,預設對所有防護對象和對象組生效,後續新增的對象也自動生效。支援手動將特定對象排除(設定為“未生效”)。
未設為預設防護模板:需要手動設定生效的防護對象和防護對象組。
模板建立時與建立完成後,均支援手動調整防護對象或防護對象組生效狀態。
日常營運
管理防護模板:建立的防護模板預設開啟,可以在防護模板列表執行如下操作:
查看模板關聯的防护对象/组的數量。
通過模板开关,開啟或關閉模板。
编辑、删除或复制防護模板。
單擊防護模板名稱左側的
表徵圖,查看該防護模板包含的規則資訊。
管理防護規則:建立的規則預設開啟。可以在規則列表執行如下操作:
查看规则ID、规则动作等資訊。
通過状态開關,開啟或關閉規則。
常見問題
威脅情報模組與IP黑名單模組有什麼區別?
IP 黑名單:需手動添加 IP 位址,實施靜態封鎖;規則動作僅支援攔截與觀察。
威脅情報:基於阿里雲全球安全資料自動識別惡意 IP,支援多種規則動作;威脅 IP 位址庫自動更新,實現主動、動態防禦。
Tor網路是什嗎?
Tor 網路(The Onion Router)是一個旨在保護使用者隱私和匿名性的開源網路。它通過在全球志願者營運的伺服器之間多次加密並轉寄流量,隱藏使用者的真實 IP 位址和訪問行為,從而增強線上匿名性。
在安全防護情境中,來自 Tor 出口節點的流量可能被用於繞過常規存取控制或發起匿名攻擊。因此,WAF提供識別並管控 Tor 流量的能力,以協助使用者降低潛在安全風險。