Web应用防火墙(WAF)的资产识别功能帮助您检测发现云上与云下的所有域名资产,并对域名资产的安全状态评分,使您掌握业务的整体防护状态。您可以为安全评分较低的域名资产开启防护,提升整体安全防护水位线。
前提条件
已购买中国内地地域的WAF实例。
重要 目前只有中国内地WAF实例支持资产识别功能。
背景信息
网络应用资产是安全管理体系中最基础的载体,同时也是业务系统中最基本的组成单元。随着企业业务的高速发展,各类业务系统平台逐年增多,同时也存在员工私建站点、测试环境未及时回收等情况,导致可能产生大量“僵尸”资产。信息安全领域存在典型的木桶效应,即安全防护的水位由企业最薄弱的一环决定。由于无人管理,“僵尸”资产往往使用了低版本的开源系统、组件、Web框架等,导致一些薄弱环节暴露在攻击者的视野下,攻击者可以利用这些站点作为“跳板”,绕过企业的网络边界防护,进而使得整个企业内网沦陷。
WAF资产识别功能通过获取阿里云域名服务、云解析DNS、SSL证书等服务的配置信息,结合大数据关联分析能力,帮助您主动发现云上与云下的域名资产,为您提供全局资产视角,避免在安全防护中出现资产遗漏。同时,资产识别基于阿里云默认Web攻击检测能力,结合威胁情报,为您计算出云上域名的安全分值,帮助您发现被攻击者关注的域名,并支持为域名开启防护,避免域名遭受入侵。
说明 资产识别支持检测的域名资源包含阿里云域名和非阿里云域名,且非阿里云域名包括解析至非阿里云服务器的域名和线下IDC机房使用的域名。
查看域名资产
- 登录Web应用防火墙控制台。
- 在顶部菜单栏,选择中国内地地域。重要 目前只有中国内地WAF实例支持资产识别功能。
- 在左侧导航栏,选择 。
- 授权WAF访问云资源。使用资产识别功能前,您必须先授予WAF读取阿里云账号中相关云服务的网站信息和管理云解析DNS服务的域名解析记录的权限。您可以通过系统自动创建的WAF服务关联角色(AliyunServiceRoleForWAF)为WAF授权。使用WAF期间,您只需执行一次授权操作即可。
如果您已经执行过授权,请跳过该步骤;否则,参照以下步骤进行授权:
完成云资源访问授权后,WAF将自动检测与您的阿里云账号相关的域名资产,并在资产识别页面展示检测到的域名资产信息。 - 在资产识别页面,查看WAF检测发现的域名资产信息。WAF将检测发现的域名资产根据主域名进行聚合展示。您可以通过以下方式,选择要查看的域名:
- 在域名资产列表上方的状态筛选框,筛选域名的防护状态,快速定位到未防护、部分防护、防护中的域名。
- 在域名资产列表上方的搜索框,使用域名关键字查询指定域名。支持模糊查询。
- 在域名资产列表,单击某个主域名(例如,example.com)左侧的
图标,展开该主域名下所有的子域名列表(例如,www.example.com),查看具体的域名资产信息。
每个域名具体包含以下信息。类型 说明 域名 网站绑定的域名。 服务器地址 网站服务器的IP地址、CNAME域名地址。 端口号 网站服务器开放的端口。 协议 网站服务器使用的协议类型,支持HTTP和HTTPS协议。 指纹信息 网站服务器的指纹信息。包括以下内容: - 开发语言。例如,Java、PHP、ASP等。
- 中间件类型。例如,Nginx、Apache、Tomcat等。
- 开源或商业应用类型。例如,Wordpress、DedeCMS、Discuz!等。
- 开发框架类型。例如,ThinkPHP、Django等。
- 组件类型。例如,Apache Shiro、Apereo CAS等。
安全评分 基于云上近30天攻击趋势,结合威胁情报数据,通过加权计算得出的该域名的安全评分。 安全评分越低,表示域名的风险越高。对于安全评分较低的域名,建议您尽快将域名接入WAF防护,以免域名资产遭受入侵。
防护状态 该网站域名是否已接入WAF进行防护。具体包含以下状态: - 在域名资产列表上方的状态筛选框,筛选域名的防护状态,快速定位到未防护、部分防护、防护中的域名。
为域名开启防护
对于资产列表中处于未防护状态的域名,如果该域名归属于当前阿里云账号(即在域名服务控制台的域名列表中),则您可以通过操作列的添加网站操作,将该域名自动接入到WAF进行防护。
说明 添加域名时,如果控制台提示泛域名已经被其他用户开通,表示该域名所属的泛域名(例如,www.example.com隶属于*.example.com)已经被其他阿里云账号接入WAF进行防护,您无需重复接入。
查看资产详情
对于资产列表中处于防护中状态的域名,您可以通过操作列的资产详情操作,查看域名资产的详细信息。

资产详情页面包含以下区域:
- 基本信息:包含域名、协议类型、防护状态、服务器地址。
- 站点树:WAF通过采集到的域名访问流量大小和流量特征,对已接入防护的域名进行URL站点树分析,识别URL类型并进行分类。同时,站点树使用大数据泛化聚合算法(归一化算法)对URL和参数进行聚合展示。例如,站点树会将以下新闻站点的具体URL聚合为
/{字符+数字}.html
的URL形式:- /news1234.html
- /oldnews1223.html
- /news1224.html
- /news124.html
您可以在站点树区域,查看域名资产聚合后的URL、参数名、参数值类型和近一天内URL的请求次数。说明 站点树中的URL仅展示到路径级别。默认最多展示三级并按照URL的请求次数排序,优先展示重要的资产。该区域支持以下操作:- 您可以通过选择URL查询或扩展名并输入关键字,搜索指定的URL。
- 在URL列,您可以单击带有
图标的URL,展开URL信息。
- 在参数名|值类型列,您可以查看URL涉及的参数名和参数值类型。 说明 参数信息已经过泛化聚合,默认仅展示三个聚合后的参数名和对应的值类型,您可以将光标移至右下角的
图标,查看所有参数。