如何添加和查看域名资产 - Web 应用防火墙

Web应用防火墙（Web Application Firewall，简称WAF）的资产中心功能帮助您梳理阿里云云上、云下的域名资产，并根据资产在云上的攻击态势，进行风险等级评估，帮助您掌握业务的整体防护状态。您可以为风险等级较高的域名资产开启防护，提升整体安全防护水平。

背景信息

网络应用资产是安全管理体系中最基础的载体，同时也是业务系统中最基本的组成单元。随着企业业务的高速发展，各类业务系统平台逐年增多，同时也存在员工私建站点、测试环境未及时回收等情况，导致可能产生大量“僵尸”资产。信息安全领域存在典型的木桶效应，即安全防护的水位由企业最薄弱的一环决定。由于无人管理，“僵尸”资产往往使用了低版本的开源系统、组件、Web框架等，导致一些薄弱环节暴露在攻击者的视野下，攻击者可以利用这些站点作为“跳板”，绕过企业的网络边界防护，进而使得整个企业内网沦陷。

WAF资产识别功能通过获取阿里云域名服务、云解析DNS、SSL证书等服务的配置信息，结合大数据关联分析能力，帮助您主动发现云上与云下的域名资产，为您提供全局资产视角，避免在安全防护中出现资产遗漏。同时，资产识别基于阿里云默认Web攻击检测能力，结合威胁情报，为您计算出云上域名的安全分值，帮助您发现被攻击者关注的域名，并支持为域名开启防护，避免域名遭受入侵。

说明

资产识别支持检测的域名资源包含阿里云域名和非阿里云域名，且非阿里云域名包括解析至非阿里云服务器的域名和线下IDC机房使用的域名。

步骤一：访问资产中心并授权WAF访问云资源

登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。
在左侧导航栏，单击资产中心。
在资产中心页面，单击立即开启。
说明
使用WAF期间，您只需执行一次授权操作。如果您已经授权过，可跳过该步骤。
- 首次开通资产中心后，阿里云将自动为您创建WAF服务关联角色（AliyunServiceRoleForWAF）。您可以登录RAM控制台，查看阿里云为WAF自动创建的服务关联角色。具体操作，请参见查看RAM角色。
  只有创建服务关联角色AliyunServiceRoleForWAF后，您的WAF实例才能访问云服务器ECS、负载均衡SLB、云解析DNS、CDN、数字证书管理服务、日志服务SLS等关联云服务的资源。
- 获取WAF访问云资源的授权后，WAF将自动检测与您的阿里云账号相关的域名资产，并在资产中心页面展示检测到的域名资产信息。
  说明
  资产中心支持识别的域名资源包含阿里云域名和非阿里云域名，非阿里云域名包括解析至非阿里云服务器的域名和线下IDC机房使用的域名。
  为了使资产中心的识别结果更准确，WAF默认开启主动指纹扫描。针对已接入WAF的资产，采用被动流量学习和主动探测的方式识别资产指纹。主动指纹扫描每两周进行一次，建议您保持开关的开启状态。

步骤二：添加资产

如果您关注的主域名资产未在资产列表中，您可以通过添加资产，手动添加主域名。

在资产中心的概览页签，单击添加资产。

在添加资产对话框，填写网站域名，并完成域名的归属权验证。

DNS解析验证：在域名解析服务商处，手动添加WAF提供的TXT记录。推荐采用此方式。
文件验证：将WAF提供的验证文件上传至域名源站服务器的指定根目录。需具备源站服务器操作权限，并配置安全组策略，允许所有IP访问，以确保WAF可从公网验证该文件。

DNS解析验证

在验证提示区域，单击方法1：DNS解析验证页签。
根据WAF控制台提供的记录类型、主机记录、记录值，在您的域名解析服务商添加TXT记录。
若使用阿里云云解析DNS，请参考以下步骤操作；若使用其他域名解析服务商，请在其系统中进行类似配置。
1. 在公网权威解析页面，找到目标主域名，并单击右侧的解析设置。
2. 单击添加记录，填写以下参数后，单击确定。其余未提及参数保持默认即可。
  - 记录类型：选择TXT。
  - 主机记录：复制并填写域名的前缀，例如verification。
  - 记录值：复制并填写WAF生成的记录值，例如verify_8fca29dec226****
等待TXT解析生效。域名首次配置TXT解析记录后将实时生效，但修改TXT解析记录通常将在10分钟后生效（生效时间取决于域名DNS解析配置的TTL时长，默认为10分钟）。
返回WAF控制台，单击“点击验证”。
- 显示验证成功：域名归属权验证完成。
- 显示验证失败：请按以下步骤排查：
  1. 检查TXT记录：确保添加的主机记录和记录值与WAF控制台提供的信息完全一致。如有差异，请删除错误记录并重新添加，然后重新验证。
  2. 等待DNS生效：DNS记录配置后可能不会立即生效，生效时间取决于域名服务器中设置的TTL缓存时间。建议等待10分钟后重新验证。
  3. 更换验证方式：如多次尝试仍无法通过验证，建议使用"方法2：文件验证"。

文件验证

在验证提示区域，单击方法2: 文件验证页签。
单击下载验证文件链接（图示①），下载验证文件。
重要
- 验证文件仅在下载后的3天内有效，若逾期未完成文件验证，则需要重新下载。
- 请勿对验证文件执行任何修改操作，例如编辑、重命名等。
- WAF将根据选择的协议类型访问源站服务器，请确保源站服务器放行了对应的安全组或防火墙规则：
  - 选择HTTP时，需要放行入方向TCP协议80端口，访问来源为0.0.0.0/0。
  - 选择HTTPS时，需要放行入方向TCP协议443端口，访问来源为0.0.0.0/0。
手动将验证文件上传至域名源站服务器（例如ECS、OSS、CVM、COS、EC2等）网页的根目录（图示②）。
说明
若添加的域名为通配符域名，例如*.aliyun.com，则需要将验证文档上传到aliyun.com的根目录。
上传完成后，可以参考如下方法，查看验证文档是否上传成功。

返回WAF控制台，单击“点击验证”。

显示验证成功：域名归属权验证完成。

显示验证失败：请根据报错信息进行排查：

问题描述	解决方案
无法访问域名	检查域名 DNS 解析，确保存在指向源站服务器的解析记录。以阿里云云解析DNS为例，操作请参见添加解析记录。检查源站服务器安全组或防火墙规则，确保放行公网访问请求。以ECS安全组为例，操作请参见添加安全组规则。
验证文件不存在	重新在域名源站服务器中上传验证文件。
文件内容不正确	前往您域名的源站服务器，删除不正确的验证文件。重新上传验证文件。

由于允许所有IP访问的安全组规则存在安全风险，若源站服务器初始安全组配置中未包含0.0.0.0/0规则，建议在完成所有权验证后，删除用于验证而添加的安全组规则。

完成上述配置后，单击添加。

说明

手动添加资产后，资产中心列表会在T+1显示添加的资产。

步骤三：查看资产

在资产中心页面，查看域名资产的详细信息。

资产中心

数据类型

说明

相关操作

域名资产数据（图示①区域）

展示您的阿里云账号相关的域名资产数据，包括主域名数、子域名数及较昨日变化数、未防护子域名数（包括未防护高风险域名数、中风险域名数和低风险域名数）。

无

域名资产详情（图示②区域）

WAF将检测发现的域名资产根据主域名进行聚合展示。每个主域名包含以下信息：

主域名：网站绑定的主域名。
解析IP：网站服务器的IP地址、CNAME域名地址。
已防护子域名数：已经接入WAF防护的子域名的数量。
未防护子域名数：未接入WAF防护的子域名的数量，包括对应的高风险、中风险、低风险的子域名数量。

在域名资产列表上方的搜索框，使用域名关键字查询指定主域名。支持模糊查询。
在域名资产列表，单击某个主域名左侧的图标，通过设置配置状态、风险级别，筛选要子域名。子域名包含以下信息：
- 子域名：网站绑定的子域名。
- 解析IP：网站服务器的IP地址、CNAME域名地址。
- 指纹：通过被动流量分析+主动指纹扫描，识别网站服务器的指纹信息。
  主动指纹探测开关在您授权资产中心后开启，您可以通过域名资产列表右上角的开关来修改主动指纹探测的开启状态。
- 云上威胁等级：基于云上近30天攻击趋势，结合威胁情报数据，评估该域名的云上风险等级。对于较高风险的域名，建议您尽快将域名接入WAF防护，以免域名资产遭受入侵。
- 配置状态：该网站域名是否已接入WAF进行防护。具体包含以下状态：
  - 未接入：网站域名未接入WAF进行防护。您可以单击操作列的接入，将该域名接入WAF。具体操作，请参见通过CNAME接入为网站开启WAF防护。
  - 已接入：网站域名已接入WAF进行防护，WAF检测到网站流量且为域名提供全面防护。
单击子域名操作列的威胁详情，查看子域名威胁信息。
说明
仅包年包月企业版或旗舰版的WAF实例支持该功能。

步骤四：导出资产

在资产中心的概览页签，选中需要导出的主域名，并单击右上角的图标，开启域名资产下载功能。
在资产中心的导出记录页签，单击下载，下载域名资产文档。
您导出的文件生成后会暂存在阿里云上，三天后会自动删除，请在有效期内下载查看。
说明
主账号支持下载资产列表，子账号暂不支持该功能。