WAF常见问题

本文汇总了您在购买和使用Web应用防火墙(Web Application Firewall,简称WAF)时的常见问题。

概览

非阿里云服务器能否使用WAF?

可以,WAF支持云外机房用户接入。WAF可以保护任何公网路由可达的服务器,不论是阿里云服务、其他的云服务、IDC机房等环境,都可以使用WAF。

重要

要接入中国内地WAF实例的域名必须按照工信部要求完成ICP备案,否则不支持接入。

WAF支持云虚拟主机吗?

支持,WAF的所有版本都支持独享虚拟主机,直接开通WAF进行配置即可。

对于共享虚拟主机,由于使用的是共享IP,源站由多个用户共同使用,不建议单独配置WAF。

WAF是否支持防护HTTPS业务?

支持,WAF的所有版本都支持HTTPS业务,并且支持泛域名接入。

只需根据提示将SSL证书及私钥上传,WAF即可防护HTTPS业务流量。配置HTTPS业务接入后,WAF会先解密访问请求,检查请求包,再重新加密,并转发正常的请求到源站。

WAF是否支持自定义端口?

WAF企业版及旗舰版支持自定义非标准端口。企业版最多支持10个非标准端口,旗舰版最多支持50个非标准端口。

重要

不是任意端口都支持自定义。非标准端口必须在支持范围内。更多信息,请参见WAF支持的端口

WAF是否对接入端口有限制?

根据接入方式不同,具体说明如下:

  • CNAME接入:

    WAF只支持接入通过指定端口提供HTTP/HTTPS服务的域名。关于WAF不同版本支持接入的端口范围,请参见各版本支持的端口

  • 透明接入:

    WAF对接入端口没有限制,您可以将80~65535范围内任意端口的Web业务,通过透明接入方式接入WAF进行防护。更多信息,请参见透明接入

除了上述WAF对接入端口的限制,根据当前网络访问验证结果,互联网运营商侧或因部分高危端口存在安全隐患,会拦截针对高危端口的业务流量。相关的高危TCP端口包括:42、135、137、138、139、445、593、1025、1434、1068、3127、3128、3129、3130、4444、5554、5800、5900、9996。如果您的Web业务使用了上述高危端口,则业务接入WAF后,可能出现业务在部分地域无法被访问的问题。因此,建议您将业务接入WAF前,确保Web业务使用其他非高危端口。

WAFQPS限制规格是针对整个WAF实例汇总的QPS,还是配置的单个域名的QPS上限?

WAFQPS限制规格针对整个WAF实例。

例如,您在WAF实例上配置防护了3个域名,则这3个域名累加的QPS不能超过规定上限。如果超过已购买的WAF实例的QPS限制,将触发限速,可能导致随机丢包。

WAF是否支持HTTPS双向认证?

CNAME接入和透明接入暂不支持,使用WAF3.0服务化接入方案可以支持HTTPS双向认证,目前支持服务化接入的云产品包括ALB、MSE、FC、SAE,可以在WAF控制台云产品接入一栏中配置接入。

WAF是否支持Websocket、HTTP 2.0SPDY协议?

WAF支持WebSocket协议,且包年包月企业版及以上和按量付费版本规格支持HTTP 2.0。目前所有版本暂不支持SPDY协议。

为避免攻击者通过HTTP 2.0明文走私来绕过WAF,您可以通过创建自定义规则,拦截Header名称为Upgrade,且值为h2c的请求。具体操作,请参见设置自定义规则防御特定请求(WAF 3.0)设置自定义防护策略(WAF 2.0)

HTTP 2.0业务接入WAF防护是否会对源站有影响?

有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求,而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求,即WAF与源站间暂不支持HTTP 2.0。因此,如果您将HTTP 2.0业务接入WAF防护,则源站的HTTP 2.0特性将会受到影响,例如,源站HTTP 2.0的多路复用特性可能失效,造成源站业务带宽上升。

HTTP2示意图

WAF支持哪些TLS协议?

中国内地WAF实例默认支持TLS 1.0、TLS 1.1、TLS 1.2,海外地区WAF实例默认支持TLS 1.1、TLS 1.2。

如果您有个性化需求(例如,不需要TLS 1.0版本、希望开启TLS 1.3等),可以自定义TLS配置。相关操作,请参见配置自定义TLS

WAF是否支持接入采用NTLM协议认证的网站?

不支持。如果网站使用NTLM协议认证,经WAF转发的访问请求可能无法通过源站服务器的NTLM认证,客户端将反复出现认证提示。建议您使用其他方式进行网站认证。

WAF中的源站IP可以填写ECS内网IP吗?

不可以。WAF通过公网进行回源,不支持直接填写内网IP。

WAF能够保护在一个域名下的多个源站IP吗?

可以,一个WAF域名配置中最多支持配置20个源站IP地址。

WAF配置多个源站时如何负载?

如果您配置了多个源站IP地址,WAF默认使用IP Hash的方式对访问请求进行负载均衡。您也可以根据需要自定义负载均衡算法。更多信息,请参见添加域名

WAF是否支持健康检查?

WAF默认启用健康检查。WAF会对所有源站IP进行接入状态检测,如果某个源站IP没有响应,WAF会将访问请求转发至其他源站IP。

说明

源站IP无法响应时,WAF将为该源站IP自动设置一个静默时间。静默时间结束后,新的访问请求可能仍然会被转发至该源站IP。关于WAF的健康检查工作原理,请参见CLB健康检查工作原理

修改WAF的源站IP是否有延迟?

有。修改WAF已防护的源站IP后,大约需要一分钟生效。

WAF的回源IP段是多少?

您可以在Web应用防火墙控制台系统管理 > 产品信息页面查询WAF的回源IP段。更多信息,请参见放行WAF回源IP

WAF是否会自动将WAF回源IP段加入安全组?

WAF不会自动将WAF回源IP段添加到安全组。如果您的源站部署了其他防火墙或主机安全防护软件,建议您将WAF回源IP段添加至相应的白名单中。

建议您配置源站保护策略,对您的源站进行安全防护。详细信息,请参见设置源站保护

WAF回源是否需要放行所有客户端IP?

根据您的业务情况,您可以只放行WAF回源IP段,也可以放行所有客户端IP。对于Web业务,建议您只放行WAF回源IP,实现源站保护。

WAF的独享IP是否能够防御DDoS攻击?

可以。

WAF为每个用户提供独立的IP,该IP同样适用DDoS防护的黑洞策略,和ECS、SLB服务器一致。WAF的黑洞阈值和当前地区ECS的默认阈值相同。

WAF能和CDNDDoS高防一起接入吗?

WAF完全兼容CDNDDoS高防服务。同时接入WAF、CDNDDoS高防的最佳部署架构为:客户端 > DDoS高防 > CDN > WAF > 负载均衡 > 源站。

WAFDDoS高防或CDN一起接入时,只要将WAF提供的CNAME地址配置为DDoS高防或CDN的源站即可。这样就可以实现流量在经过DDoS高防或CDN之后,被转发到WAF,再通过WAF最终转发至源站,从而对源站进行全面的安全防护。更多信息,请参见通过联合部署DDoS高防和WAF提升网站防护能力部署WAFCDN为开启内容加速的域名提供WAF防御

WAF是否支持跨账号使用CDN+高防+WAF的架构?

支持,您可以跨账号使用CDN、高防、WAF产品组合成抵御DDoS攻击和Web应用攻击的安全架构。

WAF如何保证上传证书及密钥的安全性?是否会解密HTTPS流量并记录访问请求的内容?

阿里云Web应用防火墙在防护HTTPS业务时,需要您上传对应的SSL证书及密钥,用于解密HTTPS流量并检测流量中的攻击特征。我们使用了专用的证书服务器(Key Server)来存储和管理密钥。Key Server依托于阿里云密钥管理系统KMS(Key Management Service),能够保护证书和密钥的数据安全性、完整性和可用性,符合监管和等保合规要求。关于KMS的详细介绍,请参见什么是密钥管理服务

WAF使用您上传的SSL证书及密钥解密HTTPS业务流量,只用于实时检测。我们只会记录包含攻击特征(payload)的部分请求内容,用于攻击报表展示、数据统计等,不会在您未授权的情况下,记录全量的请求或响应内容。

阿里云Web应用防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三级、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多项国际权威认证,且作为标准的阿里云云产品,在云平台层面具备与阿里云同等水平的安全合规资质。详细内容,请参见阿里云信任中心

说明

使用WAF防护HTTPS业务时,您也可以选择双证书方案,即在WAF上使用一套证书及密钥,在源站服务器上使用另一套证书及密钥(两套证书及密钥必须都是合法的),以便将上传到WAF的证书及密钥与源站服务器的证书及密钥分开管理。

网站已接入WAF防护,为什么在域名列表中查询不到?

您的网站备案信息可能已经失效,导致域名不符合接入要求,已被WAF自动清除。您需要为该域名完成ICP备案,并重新将网站接入WAF防护。关于阿里云ICP备案的更多信息,请参见ICP备案流程概述

重要

您在将网站接入中国内地WAF实例(包括包年包月实例和按量计费实例)防护前,必须保证域名备案信息的有效性。为符合相关法律法规要求,中国内地WAF实例会定期清除备案失效的域名。关于相关法律法规,请参见未备案不得提供非经营性互联网信息服务

WAF如何防御CC攻击?

WAF提供多种CC安全防护模式,您可以根据实际情况进行选择。更多信息,请参见设置CC安全防护

如果您希望同时有好的防护效果和低误杀率,建议您选择WAF企业版和旗舰版,由安全专家定制针对性的防护算法。详细信息,请参见设置自定义防护策略

WAF管理控制台更改配置后大约需要多久生效?

一般情况下,更改后的配置在一分钟内即可生效。

WAF自定义防护策略(ACL访问控制)中的IP字段是否支持填写网段?

支持。

为什么URL匹配字段包含双斜杠(//)的自定义防护策略规则不会生效?

由于WAF的规则引擎在处理URL匹配字段时会进行标准化处理,默认将连续的正斜杠(/)进行压缩,因此无法正确匹配包含双斜杠(//)URL的自定义防护策略规则。

如果您需要对包含双斜杠(//)的URL设置ACL访问控制,您可以直接设置该URL对应的单斜杠路径作为匹配条件。例如,如果需要将//api/sms/request作为URL匹配字段的条件值,您只需在匹配内容中填写/api/sms/request,WAF即可针对包含该内容的请求进行访问控制。

WAF管理控制台中能查看CC攻击的攻击者IP吗?

可以。您可以开通WAF日志服务,然后使用日志查询功能查询CC攻击的攻击者IP信息。更多信息,请参见快速使用WAF日志服务日志查询

如何查询WAF使用的带宽流量?

您可以在Web应用防火墙控制台总览页面查看已使用的带宽流量情况。

WAF如何提升业务账户接口的访问安全性?

随着企业业务和规模的不断增长,所受到的攻击也呈指数上涨,其中账号越有价值的网站所遭受的攻击也相对频繁,攻击者可能会在某个时间段大量请求某个特定账户接口,尝试登录账户或大量注册虚假账号。WAF可自动检测API,提供账户风险识别能力,结合场景化防爬,保护业务中与账户关联的接口。更多详情,请参见API安全风险识别开通和配置Bot管理

爬虫如何通过API接口泄漏数据?如何防护?

爬虫根据一定的规则,自动地抓取互联网信息,企业可能对线上的API接口缺乏有效的管理,攻击者在未授权的情况下,获取到API接口的访问权限,以及错误配置、非法的API访问请求可能导致敏感数据泄漏。Web应用防火墙提供Bot管理和API安全模块。

  • Bot管理基于实时计算得到的恶意爬虫IP情报库、动态更新的各大公有云、IDC机房IP库等情报信息,对恶意请求进行防护处置。更多详情,请参见开通和配置Bot管理

  • API安全支持自动梳理已接入WAF防护的业务中开放的API资产,检测API漏洞,并通过报表还原API异常事件,提供详细的漏洞处理建议。更多详情,请参见API安全

WAF如何通过自定义Header获取客户端源IP和记录客户端IP?

自定义Header获取客户端源IP:如果网站业务在WAF前有其他七层代理服务(例如,DDoS高防、CDN等),为了避免攻击者伪造XFF字段,躲避WAF的检测规则,提高业务的安全性,可在业务中使用自定义Header存放客户端IP,将客户端源IP放置在某个自定义的Header字段(例如,X-Client-IP、X-Real-IP),并在WAF中配置对应Header字段,WAF获取指定Header字段的值作为客户端源IP。如果设置多个Header字段,WAF将按顺序尝试读取客户端IP。

自定义Header记录客户端IP:在添加网站到WAF防护时,通过开启流量标记,使WAF在客户端请求的自定义Header字段中写入客户端IP,后端服务器可以从WAF回源请求的指定Header字段中获取客户端IP,适用于后端服务器需要从指定的自定义Header中获取客户端IP进行业务分析的场景。

API的主要安全风险和可能导致的结果影响有哪些?建议如何处置风险?

攻击者有可能在未经授权的情况下获取API接口的访问权限、错误的配置和非法的API访问请求可能导致敏感数据泄漏。大量模拟正常业务请求API接口可能导致CC攻击。未下线的过期API可能导致数据泄漏。

WAF提供了API安全模块用于此类问题,API安全的核心在于无需用户进行任何配置,自动发现接入安全业务流量中存在的类似敏感数据泄漏和未受相关限制而在公网暴露的内部接口等高危风险。WAF通过全量API监测和流量可视化,自动发现和归类API业务,梳理API业务现状,发现过期的API接口暴露,形成正常的访问请求模型。通过对API请求参数模型进行自学习,实现异常API调用的准实时预警,并通过配置相应的防护策略规避风险,推动处置闭环。更多详情,请参见API安全

HTTP响应码泄漏可能存在哪些风险?如何防护?

HTTP响应码表示网页服务器HTTP响应状态的3位数字代码,这些错误页面可能会包含服务器代码信息、数据库连接信息、SQL语句或者敏感文件的路径,攻击者可进行社会工程信息收集,通过触发Web应用程序报错,获取报错信息泄露的敏感信息,如Web中间件的版本信息、数据库连接信息,对某个存在漏洞的特定版本进行定向攻击。

为了防止服务器的版本信息泄露,建议隐藏服务器在HTTP响应消息头中的不必要信息,返回默认异常响应页面。WAF支持拦截指定的HTTP状态码,针对特定的HTTP请求状态码,配置规则将其拦截或者告警,避免服务器敏感信息泄露。例如,通过设置防护规则,拦截HTTP 404状态码。应用规则后,当请求指定网站中不存在的页面时,返回特定拦截页面。更多详细操作,请参见设置自定义响应规则配置拦截响应页面

游戏业务存在哪些业务安全风险?如何应对?

游戏业务可能存在外挂、打金、盗号、内容违规等业务安全风险,侵害了玩家体验和游戏服务商的利益。为应对这些挑战,阿里云游戏风控方案利用阿里体系风控能力的沉淀,结合数据特征、智能算法、图计算等技术,对黑产行为进行精准识别。在平台对用户真实性要求较高的业务场景中,为了防止用户绕过身份认证验证机制,建议采用实人认证。另外,为保障游戏内容的安全,阿里云内容安全公共云API对图片、语音、文本中可能存在的涉黄、涉政暴恐等内容进行安全检测。此外,阿里云WAF基于全网流量和威胁情报,阻断恶意爬虫的访问请求,以保护游戏业务的正常运行。

通过域名提供web API服务,可能面临哪些风险?如何防御?

网络应用通过Web API实现存储服务、消息服务、计算服务等功能,从而开发出强大的Web应用。而API接口请求伪造可能导致非法的API访问请求,例如请求路径不一致、参数值超出范围等情况,进而导致敏感数据泄漏。WAFAPI安全通过自定义API规则文件来确保只有符合规则的API请求才会被执行。此外,针对API接口爬虫威胁,如大量爬虫模拟正常的业务来请求API接口,可能产生业务欺诈和CC攻击的效果,WAF基于阿里云全网流量和威胁情报,阻断恶意爬虫的访问请求。更多详情,请参见API安全开通和配置Bot管理设置CC防护规则防御CC攻击

WAF通过哪些措施降低数据泄漏风险?

WAF通过主动发现风险接口、数据泄漏自动响应、层次化反入侵、拦截爬虫,发现并处置恶意攻击,保障企业数据安全。

WAF提供了哪些主要的防护引擎?

WAF通过基本防护规则引擎和自定义规则引擎,对网站、APP的业务流量进行恶意特征识别及防护。更多详情,请参见基础防护规则和规则组自定义规则

WAF如何智能感知和处理Web攻击误报?

由于正常业务请求特征和攻击检测规则过于接近,WAF可能将正常业务请求误判为攻击。为了控制和降低误报率,WAF规则防护引擎默认开启智能规则托管,通过动态管理Web入侵防护白名单,降低攻击误拦截风险。误报风险消除后,规则防护引擎会自动删除之前自动添加的Web入侵防护白名单规则。 更多详情,请参见设置白名单规则放行特定请求

如何通过WAF加强数据库的安全防御?

WAF通过Web入侵防御、CC和爬虫防御,提高数据库的安全水平。更多详情,请参见基础防护规则和规则组开通和配置Bot管理设置CC防护规则防御CC攻击

客户业务域名解析到SLB,接入WAF后如何防止被绕过?

WAF提供两种接入方式:CNAME接入和透明接入。对于CNAME接入,建议在网站接入Web应用防火墙后,设置源站服务器的访问控制策略,仅允许WAF回源IP段的入方向流量,以防止黑客绕过WAF直接攻击源站。此外,若源站服务器部署了SLB,还需要配置SLB实例的访问控制策略,确保只有WAF回源IP段的入方向流量被允许。完成SLB访问控制策略后,测试源站IP的业务端口,若端口无法直接连通但网站业务仍可正常访问,则表示源站保护设置成功。在配置源站保护前,请确保源站SLB实例上的所有网站域名都已接入WAF进行防护。如果需要扩容WAF集群并增加新的回源网段,还需相应地更新SLB访问控制列表。至于透明接入,若源站服务器部署在阿里云公网SLB上,除了可以选择CNAME接入,还可以采用云原生的透明接入方式,无需修改域名DNS解析和设置源站保护。