全部产品
Search
文档中心

Web 应用防火墙:重保场景防护

更新时间:Jun 05, 2024

重保场景防护适用于特定时间段的重大活动安全保障,为您提供更加精准和定制化的防御模式。本文介绍如何开启和使用重保场景防护模式。

计费说明

重要

产品及服务价格可能会发生变动,最终请以您的阿里云账单为准。

特性

说明

计费模式

重保场景防护采用预付费模式,支持30天起购买,并根据开通时所选的时长,生成预付费账单。

有效期

重保场景防护在购买后立即生效,有效期为开通时所选的购买时长

到期后,重保场景防护功能将自动停止防护。

续费

重保场景防护暂不支持直接续费。如果您希望继续使用重保场景防护功能,您可以在到期后再次开通重保场景防护。

退款说明

重保场景防护购买成功后,不支持任何形式的退订(包含五天无理由退订、非五天无理由退订)及退款。购买前,请根据业务需求评估是否购买。

前提条件

  • 已开通WAF 3.0服务。具体操作,请参见开通WAF 3.0包年包月实例开通WAF 3.0按量付费实例

    不同版本的实例对应的开通重保场景防护方式不同。

    已开通实例的版本

    是否默认开通重保场景防护

    说明

    包年包月旗舰版

    无需单独开通重保场景防护,可直接使用该功能。

    包年包月高级版企业版按量付费版

    否,可通过临时升级开通

    • 升级实例版本为旗舰版。具体操作,请参见升级

    • 通过临时升级,开通重保场景防护。具体操作,请参见开通重保场景防护

    包年包月基础版

    否,且暂不支持开通重保场景防护

    • 升级实例版本为旗舰版。具体操作,请参见升级

    • 升级实例版本为高级版企业版后,通过临时升级,开通重保场景防护。具体操作,请参见开通重保场景防护

  • 已通过CNAME接入、云产品接入(CLB(HTTP/HTTPS)、CLB(TCP)、ECS)完成Web业务接入。具体操作,请参见接入管理概述

    说明

    通过ALB、MSE或FC接入WAF的防护对象暂不支持该功能。

开通重保场景防护

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择防护配置场景防护重保场景防护

  3. 单击开通重保防护,在开通重保防护面板,开启重保场景,并设置还原时间

  4. 仔细阅读并选中服务协议后,单击立即购买并完成支付。

    开通重保场景防护后,您可以在重保场景防护页面,在重保场景防护包卡片区域,查看重保场景防护的规格详情。

新建重保场景防护规则模板

首次配置重保场景防护时,您必须新建一个重保场景防护规则模板。最多支持创建20个防护模板。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择防护配置场景防护重保场景防护

  3. 防护模板页签,单击新建模板

  4. 新建重保防护模板面板,完成以下配置。

    1. 配置基本信息。完成后,单击下一步

      配置项

      说明

      模板名称

      为该模板设置一个名称。

      长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

      防护规则

      配置要应用的防护规则并配置规则动作。

      • 重保威胁情报:攻防对抗恶意IP情报,精准识别攻击者。默认开启,且防护动作配置为观察

      • 重保防护规则组:基于智能防护模型,针对每个用户生成精准的防护规则集合。默认开启,且防护动作配置为观察

      • 重保IP黑名单:开启该功能,WAF会观察或拦截来自特定IP地址或地址段的请求,支持下发50,000条自定义IP或IP段黑名单。

      • Shiro反序列化漏洞防护:开启该功能,WAF会基于cookie加密技术防护Apache Shiro Java反序列化漏洞。

      生效对象

      从已添加的防护对象及对象组中,选择要应用该模板的防护对象防护对象组

    2. 如果配置基本信息时,开启重保IP黑名单防护规则,则需要通过以下方式配置IP黑名单。完成后,单击下一步

      配置项

      操作

      新增IP黑名单

      单击新增IP黑名单,可手动添加IP黑名单。

      1. IP黑名单文本框,输入要加入黑名单的IP,回车保存。

        说明

        IP黑名单为IPv6或CIDR掩码格式的地址段,多个地址之间用回车或英文逗号分隔,最多配置500个。

      2. 设置生效截止时间。可选项:

        • 永久生效

        • 自定义。单击时间选择器,指定具体的生效截止时间。

      3. 备注文本框,输入备注信息后,单击确定

        成功新增黑名单后,您可在IP黑名单配置面板查看新增的IP黑名单。

      导入IP黑名单

      单击导入IP黑名单,可批量导入IP黑名单。

      1. 单击上传文件,选择要导入的IP黑名单文件。

        重要
        • 支持上传CSV格式文件。

        • 支持导入IPv4和IPv6格式的地址和地址段。

        • 每条规则可导入一个文件,每个文件最多支持2000个IP/IP段,一个IP段占用1个计数单元,单次导入的文件大小不能超过1 MB。

        • 有大批量IP导入的情况下,可分多次导入。

      2. 设置生效截止时间。可选项:

        • 永久生效

        • 自定义。单击时间选择器,指定具体的生效截止时间。

      3. 备注文本框,输入备注信息后,单击确定

        成功新增黑名单后,您可在IP黑名单配置面板查看新增的IP黑名单。

      清空所有IP

      如果已添加IP的请求不再需要被拦截,您可以单击清空所有IP,删除所有IP。

      清空过期IP

      如果已添加IP的生效截止时间已过期,您可以单击清空过期IP,清空所有过期IP。

  5. 单击完成

    新建的规则模板默认开启。您可以在规则模板列表执行如下操作:

    • 查看防护模板包含的防护规则、关联的防护对象/组的数量。

    • 通过模板开关,开启关闭模板。

    • 编辑删除复制规则模板。

    • 如果当前防护模板已开启重保IP黑名单规则,可单击编辑IP黑名单,添加或修改IP黑名单。

查看重保场景防护数据

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择防护配置场景防护重保场景防护

  3. 安全报表页签,您可以查看如下信息。

    重保场景防护

    • 防护数据卡片区域,查看统计截止时间内的请求总数拦截总数和通过饼状图展示的防护类型及其数据。

    • 重保场景防护包卡片区域,查看统计截止时间内的重保规则数威胁情报规则数IP黑名单已使用规格/总规格等信息。

    • 安全报表页签,设置要查询的防护对象和时间范围,查询对应的安全报表数据。

      • 防护对象:默认已选择所有对象,表示查询已接入WAF防护的所有对象的数据。您可以选择只查询某个对象的数据。

      • 时间范围:默认展示今天的数据。您可以选择查询昨天今天7天30天或最近30天范围内任意时间的数据。

      安全报表数据说明如下表所示。

      数据类型

      说明

      支持的操作

      攻击统计分析(图示①)

      展示在指定时间范围内,防护对象收到的攻击请求的统计分析结果,包括:

      • 安全攻击类型分布

        通过饼状图,展示攻击类型的分布情况。

      • TOP5攻击情况

        攻击对象页签、攻击源IP页签,通过列表,分别展示发起攻击请求次数最多的前5个攻击对象、攻击源IP。按照攻击次数由大到小排序。

      攻击事件记录(图示②)

      通过列表,展示触发基础防护规则的攻击请求的信息。

      列表中包含以下信息:

      • 攻击IP:发起攻击请求的IP地址。

      • 所属区域:攻击IP所属地域。

      • 攻击时间:攻击的开始时间。

      • 攻击类型:攻击的类型,例如,SQL注入、代码执行等。

      • 规则类型:规则所属的类型,例如,重保防护规则组、重保威胁情报等。

      • 规则动作:分为拦截(表示WAF拦截了该请求)和观察(表示WAF只观察记录该请求为攻击请求,未拦截该请求)。

      • 筛选攻击事件

        您可以在攻击事件表格上方,使用以下字段(从左到右依次排序)筛选攻击事件:

        • 攻击类型:默认已选择全部。其他可选项:SQL注入跨站脚本代码执行本地文件包含远程文件包含Webshell其他

        • 规则类型:默认已选择全部。其他可选项:重保防护规则组重保威胁情报重保IP黑名单Shiro反序列化漏洞防护

        • 规则动作:默认已选择全部。其他可选项:拦截观察

      • 查看攻击详情

        在攻击事件操作列,单击目标事件的查看详情,可以查看攻击详情,获取关于攻击事件和防护规则的更多信息,例如,规则ID规则名称规则描述规则动作攻击类型等。

      实时威胁情报(图示③)

      实时展示攻击IP威胁情报信息,包括:

      • 攻击IP及其属性。

      • 攻击IP所属区域。

      • 近一小时攻击次数。

      • 攻击类型。

      查询攻击IP实时威胁情报

      在搜索框输入要查询的IP,单击image,可查询IP对应的威胁情报属性。