Web应用防火墙(WAF)提供资产识别功能。通过获取阿里云证书、云解析、Web应用防火墙、万网等产品的配置信息,结合大数据关联分析能力,主动发现云上与云下的域名资产,为您提供全局资产视角,避免在安全防护中出现资产遗漏, 提高整体安全防护水位线。

背景信息

说明 资产识别模块支持检测的网站资源覆盖阿里云域名和非阿里云域名(非阿里云域名包括解析至非阿里云服务器的域名和线下IDC机房使用的域名)。

网络应用资产是安全管理体系中最基础的载体,同时也是业务系统中最基本的组成单元。随着企业业务的高速发展,各类业务系统平台逐年增多,同时也存在着员工私建站点、测试环境未及时回收等情况,可能产生大量“僵尸”资产。信息安全领域存在典型的木桶效应,即安全防护的水位由企业最薄弱的一环决定。由于无人管理,“僵尸”资产往往使用了低版本的开源系统、组件、Web框架等,导致一些薄弱环节暴露在攻击者的视野下,攻击者可以利用这些站点作为“跳板”绕过企业的网络边界防护,进而使得整个企业内网沦陷。

资产识别模块基于阿里云默认Web攻击检测能力,结合威胁情报,计算出云上域名的安全分值,帮助您发现被攻击者关注的域名,及时接入防护,避免遭受入侵。

授权WAF访问云资源

为实现网络资产的主动发现,您需要授予Web应用防火墙读取您云账号中相关云服务的网站信息和管理云解析DNS服务的域名解析记录的权限。

注意 您只需在首次访问资产识别功能时进行授权。如果您已完成授权,则无需重复操作。
  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击资产中心 > 资产识别
  4. 资产识别页面,单击立即授权云资源访问授权
    说明 只有在您首次访问资产识别页面时,才会出现立即授权。如果您已经完成过授权,则不会出现立即授权
  5. 云资源访问授权页面,单击同意授权,授权Web应用防火墙访问您账号中相关云产品的资源。云资源访问授权
    授权完成后,Web应用防火墙将主动发现您云账号中的网络域名资产。

查看域名资产和添加防护

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击资产中心 > 资产识别
  4. 资产识别页面,查看Web应用防火墙主动发现的您账号中的所有域名资产。资产识别
    Web应用防火墙提供的域名资产信息如下:
    资产信息 描述
    服务器地址 域名服务器的IP地址。
    端口号 域名服务器的端口。
    协议 服务器与该域名通信的网络协议,支持HTTP和HTTPS协议。
    指纹信息 服务器的指纹信息。包括以下内容:
    • 开发语言,如JAVA、PHP、ASP等。
    • 中间件,如Nginx、Apache、Tomcat等。
    • 开源或商业应用,如wordpress、dedecms、discuz等。
    • 开发框架,如ThinkPHP、Django等。
    • 组件,如Apache Shiro、Apereo CAS等。
    安全评分 安全评分基于云上近30天攻击趋势结合威胁情报数据加权计算。安全评分越低,表示风险越高。建议您尽快接入Web应用防火墙防护,以免遭受入侵。
    防护状态 表示网站是否已接入Web应用防火墙进行全面防护。包含以下状态:
    • 未防护:网站未接入Web应用防火墙进行防护。
    • 部分防护:该泛解析域名下有部分域名已接入了Web应用防火墙进行防护。建议您排查剩余未接入的域名,及时接入WAF。
    • 防护中:网站已接入Web应用防火墙进行防护,Web应用防火墙检测到网站流量且提供全面防护。
    Web应用防火墙根据一级域名将检测发现的域名资产进行聚合展示。您可以在资产识别页面进行以下操作:
    • 在域名资产列表上方可以筛选域名的防护状态,快速定位到未防护的域名列表。资产防护状态
    • 在域名资产列表上方的搜索框中输入域名关键字,单击搜索,查询域名。域名搜索支持模糊查询。
    • 在域名资产列表中,单击某个域名左侧的扩展按钮,可以展开该主域名下所有的子域名列表,查看具体的域名资产信息。
    • 在域名资产列表中,点击操作列的添加域名,可以将该域名一键接入到WAF防护中。
      说明 添加域名时,如果控制台提示泛域名已经被其他用户开通,表示该域名已被其他云账号接入Web应用防火的防护中,您无需重复接入。
    • 查看已接入Web应用防火墙的域名的资产详情。
      说明 只有已接入Web应用防火墙的域名才会展示资产详情信息。
      1. 在域名资产列表,定位到要操作的域名,单击其操作列下的资产详情
      2. 站点树区域,查看域名资产聚合后的URL、参数名、参数值类型和近一天内URL的请求次数。
        说明 为了避免展示的URL数量过多,站点树中的URL仅展示到路径级别。默认展示最多三级并按照URL的请求次数排序,优先展示重要的资产。
        操作说明如下:
        • 您可以通过选择URL查询扩展名并输入关键字,搜索特定的URL情况。
        • URL列中,对于带有文件夹图标的URL,您可以单击URL进行展开或折叠展示URL信息。
        • 参数名|值类型列中,您可以查看URL涉及的参数名和参数值类型。
          说明 与URL相同,所展示的参数信息也经过大数据归一化算法进行泛化聚合。默认展示三个聚合后的参数名和对应的值类型,您可以将鼠标移至其右下角的更多图标查看所有参数。
          资产详情
      Web应用防火墙通过采集到的域名访问流量大小和流量特征对已接入防护的域名进行URL站点树分析,识别URL类型并进行分类。同时,站点树使用大数据泛化聚合算法(归一化算法)对URL和参数进行聚合展示。例如,系统会将以下新闻站点的具体URL聚合为/{字符+数字}.html的URL形式:
      • /news1234.html
      • /oldnews1223.html
      • /news1224.html
      • /news124.html