网站接入Web应用防火墙后,您可以为其开启主动防御功能。主动防御采用阿里云自研的机器学习算法自主学习域名的合法流量,并自动为域名生成定制化的安全防护策略,防御未知攻击。您可以根据实际需求调整主动防御的防护模式和规则。

注意 本文介绍的主动防御功能对应2020年1月发布的新版控制台界面。如果您使用在此日期前开通的Web应用防火墙实例,请参见主动防御

前提条件

  • 已开通Web应用防火墙实例。更多信息,请参见开通Web应用防火墙
  • 已完成网站接入。更多信息,请参见添加域名
  • 包年包月开通的Web应用防火墙实例,实例套餐必须是旗舰版及以上规格。更多信息,请参见版本功能说明
    说明 按量付费开通的Web应用防火墙实例,暂不支持主动防御功能。

背景信息

传统的Web攻击防护基于安全检测规则。主动防御则通过无监督学习的方式对域名的访问流量进行深度学习,并根据机器学习算法模型为不同访问请求打分,标记正常分值。在请求分值的基础上,主动防御能够定义域名的正常访问流量基线,并基于此生成定制化的安全策略。通过将流量分层的方式,有机地结合主动防御与Web应用防火墙的其它安全检测体系,能够为域名提供更加全面的攻击防护。

主动防御

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击防护配置 > 网站防护
  4. 网站防护页面上方,切换到要设置的域名。切换域名
  5. 单击Web安全页签,定位到高级防护模块下的主动防御,完成以下功能配置。主动防御
    配置项 说明
    状态 开启或关闭主动防御功能。
    模式 检测发现攻击请求时,对攻击请求执行的操作。可选值:
    • 告警:只触发告警,不阻断攻击请求。
    • 拦截:直接阻断攻击请求。
    说明 默认情况下,主动防御采用告警模式。所有主动防御安全规则仅将命中规则的请求上报至安全报表,并不会进行拦截。建议您通过安全报表观察一段时间,确认主动防御的安全规则没有出现误拦截的情况后,再切换到拦截模式。
    域名首次开启主动防御后,系统将自动使用机器学习算法模型对域名的历史流量进行深度学习,并基于学习结果为该域名生成定制化的安全策略。机器学习算法模型的首次学习时长与域名的历史流量大小有关,通常需要大约一小时完成首次学习并生成安全策略。学习完成后,您将收到站内信、短信、邮件通知。