重保场景防护模式适用于特定时间段的重大活动安全保障,为您提供更加精准和定制化的防御模式。本文介绍了如何开启重保场景防护模式。

计费说明

计费模式

重保场景防护实例按照包月模式计费。

有效期

您需要预付费购买WAF防护场景包,并在有效期内,才可以使用重保场景防护功能。关于如何购买WAF防护场景包,请参见开通重保场景防护

您可以在重保场景防护页面右上角重保场景防护包卡片,查看WAF防护场景包有效期。

WAF防护场景包到期后,重保场景防护功能将自动停止。相关配置将为您继续保留七天,如果在这七天内您仍然没有续费,实例将被释放,防护规则恢复到之前配置。

续费

您可在重保场景防护包卡片,单击立即续费,在WAF防护场景包购买页选择购买时长,单击立即购买并完成支付。完成支付后,实例有效期将根据您续费时选择的购买时长往后顺延。

退款说明

WAF防护场景包不支持任何形式的退订(包含五天无理由退订、非五天无理由退订)及退款。

前提条件

开通重保场景防护

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择防护配置 > 重保场景防护
  3. 单击开通重保防护,进入WAF防护场景包购买页,选择购买时长,单击立即购买并完成支付。

新建重保场景防护规则模板

首次配置重保场景防护时,您必须新建一个重保场景防护规则模板。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择防护配置 > 重保场景防护
  3. 防护模板页签,单击新建模板
  4. 新建重保防护模板面板,完成以下模板配置。
    新建重保防护模版
    1. 配置基本信息。完成后,单击下一步
      配置项 说明
      模板名称 为该模板设置一个名称。

      支持使用中文字符、英文字符(大小写)、数字(0~9)及下划线(_)。

      防护规则 要应用的防护规则。可选项:
      • 重保威胁情报:攻防(对抗)恶意IP情报,精准识别攻击者。默认开启,且防护动作配置为观察
      • 重保防护规则组:基于智能防护模型,针对每个用户生成的精准防护规则。默认开启,且防护动作配置为观察
      • 重保IP黑名单:支持下发50,000条用户自定义IP/IP段黑名单。
      • Shiro反序列化漏洞防护:基于cookie加密技术防护Apache Shiro Java反序列化漏洞。
      相关操作:
      • 开启防护规则:您可通过配置开启按钮,打开或关闭防护规则。
      • 配置规则动作:您可通过配置动作按钮,设置该防护规则为观察拦截。默认为观察
      生效对象 从已添加的防护对象及对象组中,选择要应用该模板的防护对象防护对象组

      一个防护对象或对象组只能关联到当前防护模块下的一个模板。

      关于添加防护对象和对象组的具体操作,请参见管理防护对象管理防护对象组

    2. 如果配置基本信息时,开启重保IP黑名单防护规则,则需要配置如下IP黑名单信息。完成后,单击下一步
      配置项 操作
      新增IP黑名单
      1. 单击新增IP黑名单,在IP黑名单文本框中,输入要新增的IP黑名单,回车保存。
        说明 IP黑名单为IPv6或CIDR掩码格式的地址段,多个地址之间用回车或英文逗号分隔,最多配置500个。
      2. 设置生效截止时间。可选项:
        • 永久生效
        • 自定义。单击时间选择器,指定具体的生效截止时间。
      3. 设置备注信息。在备注文本框中,输入备注信息。
      4. 单击确定。成功新增黑名单后,您可在IP黑名单配置面板查看新增的IP黑名单。
      导入IP黑名单
      1. 单击上传文件,批量导入IP黑名单。
        重要
        • 支持上传CSV格式文件。关于导入模板,请参见下载模板
        • 支持导入IPv4和IPv6格式的地址和地址段,按回车键作为分隔符。
        • 每条规则可导入一个文件,每个文件最多支持2000个IP/IP段,一个IP段占用1个计数单元,单次导入的文件大小不能超过1 MB。
        • 有大批量IP导入的情况下,可分多次导入。
      2. 设置生效截止时间。可选项:
        • 永久生效
        • 自定义。单击时间选择器,指定具体的生效截止时间。
      3. 设置备注信息。在备注文本框中,输入备注信息。
      4. 单击确定。成功导入黑名单后,您可在IP黑名单配置面板查看新增的IP黑名单。
      清空所有IP 单击清空所有IP,弹出删除对话框,单击确认
      清空过期IP 单击清空过期IP,弹出删除对话框,单击确认
  5. 单击完成
    成功创建防护模板后,您可以在防护模板页签,查看新建的防护模板及防护规则、应用该模板的防护对象/组的数量。
    新建的防护模板默认开启。您可以通过模板开关,开启或关闭模板;或对防护模板执行编辑删除操作。防护模板

查看重保场景防护信息

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,单击防护配置 > 重保场景防护
  3. 重保场景防护页面,您可以查看如下信息。
    重保场景防护
    • 防护数据卡片,查看统计截止时间内的请求总数拦截总数和通过饼状图展示的防护类型及其数据。
    • 重保场景防护包卡片,查看统计截止时间内的重保规则数威胁情报规则数IP黑名单已使用规格/总规格等信息。
    • 安全报表页签,设置要查询的防护对象和时间范围,查询对应的安全报表数据。
      • 防护对象:默认已选择所有对象,表示查询已接入WAF防护的所有对象的数据。您可以选择只查询某个对象的数据。
      • 时间范围:默认展示今天的数据。您可以选择查询昨天今天7天30天的数据,或通过时间选择器查询最近30天范围内任意时间的数据。
      安全报表数据说明如下表所示。
      图示编号 数据类型 说明 支持的操作
      攻击统计分析 展示在指定时间范围内,防护对象收到的攻击请求的统计分析结果,包括:
      • 安全攻击类型分布

        通过饼状图,展示攻击类型的分布情况。

      • TOP5攻击情况

        攻击对象页签、攻击源IP页签,通过列表,分别展示发起攻击请求次数最多的前5个攻击对象、攻击源IP。按照攻击次数由大到小排序。

      攻击事件记录 通过列表,展示触发基础防护规则的攻击请求的信息。
      列表中包含以下信息:
      • 攻击IP:发起攻击请求的IP地址。
      • 所属区域:攻击IP所属地域。
      • 攻击时间:攻击的开始时间。
      • 攻击类型:攻击的类型,例如,SQL注入、代码执行等。
      • 规则类型:规则所属的类型,例如,重保防护规则组、重保威胁情报等。
      • 规则动作:分为拦截(表示WAF拦截了该请求)和观察(表示WAF只观察记录该请求为攻击请求,未拦截该请求)。
      • 筛选攻击事件
        您可以在攻击事件表格上方,使用以下字段(从左到右依次排序)筛选攻击事件:
        • 攻击类型:默认已选择全部。其他可选项:SQL注入跨站脚本代码执行本地文件包含远程文件包含Webshell其他
        • 规则类型:默认已选择全部。其他可选项:重保防护规则组重保威胁情报重保IP黑名单Shiro反序列化漏洞防护
        • 规则动作:默认已选择全部。其他可选项:拦截观察
      • 查看攻击详情

        单击某个攻击事件操作列下的查看详情,可以查看攻击详情,获取关于攻击事件和防护规则的更多信息,例如,规则ID规则名称规则描述规则动作攻击类型等。

      实时威胁情报 实时展示攻击IP威胁情报信息,包括:
      • 攻击IP,及其属性。
      • 攻击IP所属区域。
      • 近一小时攻击次数。
      • 攻击类型。
      查询攻击IP实时威胁情报

      在搜索框中输入要查询的IP,单击icon,可查询IP对应的威胁情报属性。