当业务面临来自全球网络的自动化扫描、漏洞利用和匿名代理等恶意访问时,手动维护大规模 IP 黑名单效率低下,且难以应对动态变化的攻击源。Web应用防火墙(Web Application Firewall,简称WAF)的威胁情报功能,基于阿里云全球多维度威胁数据,可自动识别并处置恶意 IP,在攻击发生前构建主动防御体系,显著降低运维负担,提升业务安全性。
适用范围
版本要求:已开通包年包月企业版、旗舰版或按量付费版WAF。
配置前提:已存在防护对象(已将Web业务接入WAF),若尚未将业务接入,请参见接入概述。
接入形态限制:不支持函数计算FC,MSE需升级至2.0.18版本及以上,APIG需升级至2.1.13版本及以上。
关键概念
威胁情报:WAF的防护模块之一,用于自动识别并阻断全球范围内的Web攻击源IP地址,无需手动配置复杂规则。需通过创建威胁情报防护模板启用此模块,系统支持创建多个模板。
防护模板:模板是规则的集合,用于定义具体的规则内容和作用范围。其由以下三部分组成:模板类型、防护规则、生效对象。
模板类型:模板创建时需指定类型,且创建后不可更改。模板类型分为以下两种:
模板类型
说明
适用场景
默认模板
模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。
支持手动将特定对象排除(设置为“未生效”)。
在威胁情报模块下,仅能创建一个默认模板。
部署通用的、需全局执行的规则。
自定义模板
必须手动指定其生效的防护对象或对象组。
针对特定业务部署精细化的规则。
防护规则:定义具体的检测逻辑和响应措施,每条规则由以下两部分组成:
规则类型:定义检测的威胁类型,支持网站扫描,漏洞利用,Tor地址。
规则动作:定义命中规则后的处置措施,规则动作的优先级从高到低依次为:拦截、严格滑块、滑块、JS 验证、观察。
生效对象:指定模板的应用目标。通过生效对象设置,将防护规则应用到指定的防护对象或防护对象组。一个防护对象或对象组仅能关联一个威胁情报模板。
防护对象:每个接入 WAF 的域名或云产品实例,系统会为其自动创建一个防护对象。
防护对象组:可将多个防护对象加入一个防护对象组,以便集中管理。
操作步骤
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地),在左侧导航栏,选择。
步骤一:配置威胁情报模板类型
在Web 核心防护页面下方的威胁情报区域,单击新建模板。在新建模板 - 威胁情报面板,完成以下配置。
模板名称:为该模板设置一个名称。
是否设置为默认模板:威胁情报模块仅能设置一个默认模板,且仅能在新建模板时设置。
是:无需设置生效对象,模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。支持手动将特定对象排除(设置为“未生效”)。
否:需要设置生效对象,手动指定其生效的防护对象或对象组。
步骤二:配置防护规则
在规则配置区域,完成以下配置。
规则类型:按业务需求,选择规则类型,防御特定类型的攻击。
规则类型
说明
网站扫描
此类IP地址通过自动化工具对网站进行探测,以识别技术架构、开放端口、潜在安全漏洞或收集其他相关信息。
漏洞利用
此类IP地址利用Web应用中的安全漏洞执行恶意操作,实施未授权访问,并可能造成破坏性后果。
Tor地址
此类IP地址为Tor网络的出口节点,代表经由Tor网络匿名访问互联网的用户流量,其通信以该IP作为出口标识。
规则动作:选择当请求命中规则时,要执行的防护动作。
配置项
说明
JS验证
WAF向客户端返回一段JavaScript验证代码,标准浏览器将自动执行该代码。若客户端正常执行完成,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求,否则拦截请求。
拦截
拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。
说明WAF默认使用统一的拦截响应页面,也可以通过自定义响应功能,自定义拦截响应页面。
观察
不拦截命中规则的请求,仅通过日志记录请求命中的情况。在试运行规则时,可以先通过观察模式分析WAF日志,以确认未产生误拦截,再将其调整为其他规则动作。
滑块
WAF向客户端返回滑动验证页面。若客户端成功完成滑动验证,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求,否则拦截请求。
严格滑块
WAF向客户端返回滑动验证页面。若客户端成功完成滑动验证,则放行该请求;否则拦截请求。在此模式下,客户端每次命中该规则的请求均需进行滑动验证。
说明仅按量付费实例以及包年包月企业版和旗舰版实例支持滑块验证。
JS验证或滑块验证仅适用于同步请求。对于XMLHttpRequest、Fetch方法等异步请求,必须注入Web SDK,否则无法正常运行。具体操作,请参见Bot管理的JS校验和滑块验证功能。
启用JS验证或滑块后,客户端通过验证时,WAF将在响应头中通过Set-Cookie 设置名为
acw_sc__v2(JS验证)或acw_sc__v3(滑块验证)的 Cookie。客户端在后续请求中会在 Cookie 头中携带该标识。
高级设置(可选):
配置项
说明
规则灰度
配置规则针对不同维度的对象的生效比例。
开启规则灰度后,还需要设置维度和灰度比例。维度包括:IP、自定义Header、自定义参数、自定义Cookie、Session。
说明规则灰度根据配置的维度生效,而非对请求按比例随机生效规则。例如,当维度为IP且灰度比例为10%时,WAF将选择约10%的IP地址;被选中的IP地址,其所有请求均应用该规则,而非对所有请求按10%的比例随机应用。
生效模式
永久生效(默认):防护模板开启时,规则永久生效。
按时间段生效:防护规则仅在指定的一段时间内生效。
按周期生效:防护规则仅在指定的时间周期内生效。
步骤三:设置威胁情报模板生效对象
在生效对象区域,选择要应用于该模板的防护对象和防护对象组。
模板的生效方式取决于在步骤一的配置:
设置为默认防护模板:无需设置生效对象,模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。支持手动将特定对象排除(设置为“未生效”)。
未设为默认防护模板:需要手动设置生效的防护对象和防护对象组。
模板创建时与创建完成后,均支持手动调整防护对象或防护对象组生效状态。
日常运维
管理防护模板:新建的防护模板默认开启,可以在防护模板列表执行如下操作:
查看模板关联的防护对象/组的数量。
通过模板开关,开启或关闭模板。
编辑、删除或复制防护模板。
单击防护模板名称左侧的
图标,查看该防护模板包含的规则信息。
管理防护规则:新建的规则默认开启。可以在规则列表执行如下操作:
查看规则ID、规则动作等信息。
通过状态开关,开启或关闭规则。
常见问题
威胁情报模块与IP黑名单模块有什么区别?
IP 黑名单:需手动添加 IP 地址,实施静态封禁;规则动作仅支持拦截与观察。
威胁情报:基于阿里云全球安全数据自动识别恶意 IP,支持多种规则动作;威胁 IP 地址库自动更新,实现主动、动态防御。
Tor网络是什么?
Tor 网络(The Onion Router)是一个旨在保护用户隐私和匿名性的开源网络。它通过在全球志愿者运营的服务器之间多次加密并转发流量,隐藏用户的真实 IP 地址和访问行为,从而增强在线匿名性。
在安全防护场景中,来自 Tor 出口节点的流量可能被用于绕过常规访问控制或发起匿名攻击。因此,WAF提供识别并管控 Tor 流量的能力,以帮助用户降低潜在安全风险。