CDN结合WAF能力,将业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。 通过本文档,您可以了解WAF防护功能、使用场景、费用说明和设置方法。

前提条件

  • 您已在CDN控制台开通WAF功能(开通方式:选择安全防护 > WAF,单击开通。)。
  • 目前CDN仅支持中国内地加速节点的WAF防护,开启前请您确认域名的加速区域。修改域名加速区域的操作方法,请参见修改基础信息

背景信息

阿里云CDN的WAF功能,是指CDN融合了云盾Web应用防火墙(Web Application Firewall,简称 WAF)能力,在CDN节点上,提供WAF防护功能。WAF防护具体功能,请参见什么是Web应用防火墙

CDN的WAF服务主要适用于金融、电商、O2O、互联网+、游戏、政府、保险等行业,保护您的网站在使用CDN加速的同时,免受因外部恶意攻击而导致的意外损失。

使用CDN WAF功能后,可以帮助您解决以下问题:
  • 防数据泄密,避免因黑客的注入入侵攻击,导致网站核心数据被拖库泄露。
  • 阻止木马上传网页篡改,保障网站的公信力。
  • 提供虚拟补丁,针对网站被曝光的最新漏洞,最大可能地提供快速修复规则。

当您开启WAF功能后,CDN WAF会对此域名的所有请求进行检测,并按照账户维度,对域名开启WAF功能的请求次数汇总,然后收费。CDN WAF计费价格,请参见增值服务计费-CDN WAF计费

操作步骤

  1. 登录CDN控制台
  2. 在左侧导航栏,单击域名管理
  3. 域名管理页面,单击目标域名对应的管理
  4. 在指定域名的左侧导航栏,单击安全配置
  5. WAF页面,打开WAF功能配置开关。
  6. 单击修改配置
    WAF功能配置
  7. 根据页面提示,配置Web应用攻击防护精准访问控制
    项目 参数 说明
    Web应用攻击防护状态 状态 Web应用攻击防护开关。
    模式 Web应用攻击防护模式如下:
    • 防护

      发现攻击后直接阻断。

    • 预警

      发现攻击后只告警不阻断。

    防护规则策略 Web应用攻击防护规则如下:
    • 宽松规则

      当您发现在中等规则下存在较多误拦截时,建议您选择宽松规则。宽松模式下对业务的误报程度最低,但也容易漏过攻击。

    • 中等规则

      默认使用中等规则。

    • 严格规则

      当您需要更严格地防护路径穿越、SQL注入、命令执行时,建议您选择严格规则

    在发现防护规则有对正常业务有阻拦时,可调整防护策略的模式。宽松模式下对业务的误报程度最低,但也容易漏过攻击。

    精准访问控制 状态 精准访问控制开关。
    规则 CDN提供一条默认规则。您可以根据所需,单击前去配置,添加新规则,并编辑默认规则。当前每一条规则中最多允许三个条件组合,并且条件之间是“与”的逻辑关系,即必须三个条件同时满足才能与规则匹配。

角色授权

当您需要CDN边缘Web应用防火墙自动角色授权时,可以使用CDN WAF功能,CDN将自动为您创建AliyunServiceRoleForCDNAccessingWAF角色,并授权CDN使用该角色,并授权CDN访问WAF产品中的资源。

AliyunServiceRoleForCDNAccessingWAF角色中包含的权限包括如下接口:

  • DescribePayInfo
  • CreatePostpaidInstance
  • CreateOutputDomainConfig
  • DeleteOutputDomainConfig
  • DescribeDomainWebAttackTypePv
  • ModifyLogServiceStatus
  • DescribeProtectionModuleMode
  • DescribeDomainRuleGroup
  • DescribeRegions
  • ModifyProtectionRuleStatus
  • ModifyProtectionRuleCacheStatus
  • DescribePeakValueStatisticsInfo
  • DescribeDomainAccessStatus
  • DescribeFlowStatisticsInfo
  • DescribeDomainTotalCount
  • DescribeResponseCodeStatisticsInfo
  • DescribeDDosCreditThreshold
  • ModifyDomainClusterType
  • DescribeInstanceInfo
  • DescribeOutputDomains
  • CreateOutputDomain
  • DeleteOutputDomain
  • DeleteInstance
  • DescribeInstanceSpecInfo
  • DescribeDomainBasicConfigs

如果您希望删除该AliyunCDNAccessingWAFRole角色,您需要提交工单删除CDN WAF实例,关闭所有域名的CDN WAF功能,然后才能在RAM中删除该SLR。