CDN结合边缘Web应用防火墙WAF(Web Application Firewall)能力,在CDN节点上提供WAF防护功能,可以有效识别业务流量恶意特征,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。
前提条件
功能说明
阿里云CDN的WAF功能,是指CDN融合了WAF能力,在CDN节点上,提供WAF防护功能。WAF防护具体功能,请参见什么是Web应用防火墙。
适用场景
CDN的WAF服务主要适用于金融、电商、O2O、互联网+、游戏、政府、保险等行业,保护您的网站在使用CDN加速的同时,免受因外部恶意攻击而导致的意外损失。
使用CDN WAF功能后,可以帮助您解决以下问题:
- 防数据泄密,避免因黑客的注入式攻击导致网站核心数据被拖库泄露。
- 阻止木马上传网页篡改,保障网站的公信力。
- 提供虚拟补丁,针对网站被曝光的最新漏洞,最大可能地提供快速修复规则。
费用说明
当您开启WAF功能后,CDN WAF会对此域名的所有请求进行检测,并按照账户维度,对域名开启WAF功能的请求次数汇总,然后收费。CDN WAF计费价格,请参见增值服务计费-CDN WAF计费。
操作步骤
- 登录CDN控制台。
- 在左侧导航栏,选择 。
- 在域名列表页面,单击目标域名对应的防护配置。
- 根据页面提示,配置Web安全、Bot管理和访问控制/限流。
项目 参数 说明 Web安全 状态 Web入侵防护开关。 模式 Web入侵防护模式如下: - 拦截:发现入侵后直接拦截。
- 告警:发现入侵后只告警不拦截。
防护规则组 Web入侵防护规则如下: - 宽松规则:当您发现在中等规则下存在较多误拦截时,建议您选择宽松规则。宽松模式下对业务的误报程度最低,但也容易漏过攻击。
- 中等规则:默认使用中等规则。
- 严格规则:当您需要更严格地防护路径穿越、SQL注入、命令执行时,建议您选择严格规则。
解码设置 设置需要正则防护引擎解码分析的内容格式。 - 单击,打开配置窗口。
- 选中或取消选中要解码的格式。
- 不支持取消的格式:URL解码、JavaScript Unicode解码、Hex解码、注释处理、空格压缩。
- 支持取消的格式:Multipart解析、JSON解析、XML解析、PHP序列化解码、HTML实体解码、UTF-7解码、Base64解码、Form解析。
- 单击确定。
说明 为保证防护效果,正则防护引擎默认对请求中所有格式类型的内容进行解码分析。如果您发现正则防护引擎经常对业务中包含指定格式内容的请求造成误拦截,您可以取消解码对应格式,针对性地降低误杀率。Bot管理(仅限企业版用户) 合法爬虫 状态 合法爬虫开关。 说明 合法爬虫提供合法搜索引擎白名单,可应用于全域名下放行。您可以根据实际需求,单击前去配置,启用或者关闭合法爬虫。典型爬虫行为识别 状态 典型爬虫行为识别开关。 说明 典型爬虫行为识别提供典型爬虫行为识别的通用算法实例,可配置基本业务参数和风险阈值进行机器学习,输出智能防护结果以对抗高级爬虫。您可以根据实际需求,单击前去配置,添加算法规则。爬虫威胁情报 状态 爬虫威胁情报开关。 说明 爬虫威胁情报基于云平台强大的计算能力,提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的威胁情报,可应用于全域名或指定路径下进行阻断。您可以根据实际需求,单击前去配置,编辑情报。访问控制/限流 IP黑名单 状态 IP黑名单控制开关。 说明 IP黑名单支持一键封禁特定的IP地址和地址段访问,以及指定区域的IP地址的访问限制能力。您可以根据实际需求,单击前去配置,添加IP地址黑名单和IP地域黑名单。自定义防护策略 状态 自定义防护策略开关。 说明 自定义防护策略支持自定义精准条件的访问控制规则,以及基于精准条件下的指定统计对象的访问限制自定义规则。您可以根据实际需求,单击前去配置,添加自定义防护策略。
角色授权
当您首次使用CDN WAF功能时,首先需要通过CDN控制台完成WAF产品对CDN产品调用的访问授权,CDN将自动为您创建AliyunServiceRoleForCDNAccessingWAF角色,并授权CDN使用该角色,以及授权CDN访问WAF产品中的资源。
AliyunServiceRoleForCDNAccessingWAF角色中包含的权限包括如下接口:
- DescribePayInfo
- CreatePostpaidInstance
- CreateOutputDomainConfig
- DeleteOutputDomainConfig
- DescribeDomainWebAttackTypePv
- ModifyLogServiceStatus
- DescribeProtectionModuleMode
- DescribeDomainRuleGroup
- DescribeRegions
- ModifyProtectionRuleStatus
- ModifyProtectionRuleCacheStatus
- DescribePeakValueStatisticsInfo
- DescribeDomainAccessStatus
- DescribeFlowStatisticsInfo
- DescribeDomainTotalCount
- DescribeResponseCodeStatisticsInfo
- DescribeDDosCreditThreshold
- ModifyDomainClusterType
- DescribeInstanceInfo
- DescribeOutputDomains
- CreateOutputDomain
- DeleteOutputDomain
- DeleteInstance
- DescribeInstanceSpecInfo
- DescribeDomainBasicConfigs
如果您希望删除该AliyunServiceRoleForCDNAccessingWAF角色,您需要填写信息申请删除CDN WAF实例,关闭所有域名的CDN WAF功能,然后才能在RAM中删除该SLR。