Web应用防火墙提供资产识别功能,通过获取阿里云平台上的SSL证书、云解析DNS、Web应用防火墙等云产品的配置信息和站点通信流量中的网站信息,主动发现您云平台上的网络资产,同时提供一键接入防护功能帮助您的企业实现全面的网络资产管理和安全防护。

背景信息

网络应用资产是安全管理体系中最基础的载体,同时也是业务系统中最基本的组成单元。随着企业业务的高速发展,各类业务系统平台逐年增多,同时也存在着员工私建站点、测试环境未及时回收等情况,可能产生大量“僵尸”资产。信息安全领域存在典型的木桶效应,即安全防护的水位由企业最薄弱的一环决定。由于无人管理,“僵尸”资产往往使用了低版本的开源系统、组件、Web框架等,导致一些薄弱环节暴露在攻击者的视野下,攻击者可以利用这些站点作为“跳板”绕过企业的网络边界防护,进而使得整个企业内网沦陷。

Web应用防火墙(WAF)的资产识别功能旨在协助您发现阿里云上的应用资产、监控资产变化,避免在安全防护中出现资产遗漏, 提高整体安全防护水位线。资产识别为您提供云上资产识别、一键自动接入防护、0day漏洞影响范围评估等功能,为企业网络域名资产的安全管理提供事实依据和快速接入安全防护的能力,全面保障企业云上网络资产的安全。

在得到您的授权后,Web应用防火墙将基于所获取的您阿里云账号中的SSL证书、云解析DNS、Web应用防火墙等云产品的配置信息和阿里云上站点通信流量中的网站(Host)信息,综合发现您在阿里云平台中的所有域名资产信息,包括域名和子域名信息、服务器IP地址、端口、协议、Web防护状态等。

授权WAF访问云资源

为实现网络资产的主动发现,您需要授予Web应用防火墙读取您云账号中相关云服务的网站信息和管理云解析DNS服务的域名解析记录的权限。

注意 您只需在首次访问资产识别功能时进行授权。如果您已完成授权,则无需重复操作。
  1. 登录Web应用防火墙控制台
  2. 在顶部导航栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击资产中心 > 资产识别
  4. 资产识别页面,单击立即授权云资源访问授权
    说明 只有在您首次访问资产识别页面时,才会出现立即授权。如果您已经完成过授权,则不会出现立即授权
  5. 云资源访问授权页面,单击同意授权,授权Web应用防火墙访问您账号中相关云产品的资源。云资源访问授权
    授权完成后,Web应用防火墙将主动发现您云账号中的网络域名资产。

查看域名资产和添加防护

  1. 登录Web应用防火墙控制台
  2. 在顶部导航栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击资产中心 > 资产识别
  4. 资产识别页面,查看Web应用防火墙主动发现的您账号中的所有域名资产。域名资产
    Web应用防火墙根据一级域名将检测发现的域名资产进行聚合展示。您可以展开某个域名查看具体的域名资产信息,包括服务器地址端口号、网络协议防护状态等信息。在域名资产列表上方的搜索框中输入任意关键字,单击搜索,可以查询域名。
    说明
    • 资产识别页面仅展示近期有流量的云上域名资产。
    • 如果域名资产的服务器地址、端口号、协议等信息未显示,表示该IP资产不属于当前阿里云账号。

    防护状态表示网站是否已接入Web应用防火墙进行全面防护:

    • 未添加:网站未接入Web应用防火墙进行防护。
    • 已添加未接入:已在Web应用防火墙中添加网站接入配置,但Web应用防火墙未检测到网站流量。
    • 防护中:网站已接入Web应用防火墙进行防护,Web应用防火墙检测到网站流量且提供全面防护。
  5. 可选:一键接入防护。
    对于尚未接入Web应用防火墙的域名,建议您通过一键接入Web应用防火墙进行防护,实现域名资产的全面防护。更多信息,请参见域名一键接入
  6. 可选:查看资产详情。
    对于已接入Web应用防火墙的域名,您可以查看域名资产的站点树详细信息。
    说明 域名资产站点树功能仅对企业版和旗舰版Web应用防火墙实例开放。如果您使用高级版实例,建议您升级到更高版本,具体操作请参见续费与升级
    Web应用防火墙根据全量日志功能采集的域名访问流量大小和流量特征对已接入防护的域名进行URL站点树分析,识别URL类型并进行分类。同时,站点树使用大数据泛化聚合算法(归一化算法)对URL和参数进行聚合展示。例如,系统会将以下新闻站点的具体URL聚合为/{字符+数字}.html的URL形式:
    • /news1234.html
    • /oldnews1223.html
    • /news1224.html
    • /news124.html
    1. 在域名资产列表,定位到要操作的域名,单击其操作列下的资产详情
    2. 站点树区域,查看域名资产聚合后的URL、参数名、参数值类型和近一天内URL的请求次数。
      说明 为了避免展示的URL数量过多,站点树中的URL仅展示到路径级别。默认展示最多三级并按照URL的请求次数排序,优先展示重要的资产。

      操作说明如下:

      • 您可以通过选择URL查询扩展名并输入关键字,搜索特定的URL情况。
      • URL列中,对于带有文件夹图标的URL,您可以单击URL进行展开或折叠展示URL信息。
      • 参数名|值类型列中,您可以查看URL涉及的参数名和参数值类型。
        说明 与URL相同,所展示的参数信息也经过大数据归一化算法进行泛化聚合。默认展示三个聚合后的参数名和对应的值类型,您可以将鼠标移至其右下角的更多图标查看所有参数。
        资产详情