Web应用防火墙(WAF)安全报表向您展示WAF各个防护模块的防护记录。您可以使用安全报表查看WAF已防护域名的Web安全、Bot管理、访问控制/限流防护记录,进行业务安全分析。
前提条件
- 已完成网站接入。更多信息,请参见网站接入。
- 已开启了WAF防护。
域名接入WAF后,WAF会自动为该域名开启规则防护引擎和CC安全防护模块,其他模块需要您手动开启。更多信息,请参见概述。
- 如果您购买的是按量计费的WAF实例,则必须在功能与规格设置中开启提供业务分析报表,才能使用安全报表。更多信息,请参见功能与规格设置(按量付费模式)。
查看安全报表
Web安全报表说明
- Web入侵防护:展示WAF阻断的所有Web应用攻击,分为攻击统计信息(图示中①)和攻击详情记录(图示中②)。您可以使用域名、查询时间搜索某个域名在查询时间范围内的数据。
- 攻击统计信息包括安全攻击类型分布、攻击来源IP TOP5和攻击来源区域 TOP5。
- 攻击详情记录展示Web攻击的详细信息,包括攻击IP、所属区域、攻击时间、攻击类型、攻击URL、请求方法、请求参数、规则动作、规则ID和攻击概率。
您可以使用以下字段筛选您关注的记录:
- 防护模块:支持选择规则防护、深度学习。
- 攻击类型:支持选择SQL注入、跨站脚本、代码执行、CRLF、本地文件包含、远程文件包含、webshell、CSRF、定制规则、其他。
- 攻击IP
- 防护规则ID
您可以对攻击记录执行以下操作:- 单击攻击记录操作列下的查看详情,可以查看攻击详情。
- 如果您确认某条攻击记录是正常业务请求,后续不希望WAF阻断具有相同特征的请求,可以单击攻击记录操作列下的误报屏蔽。
该操作将会根据当前攻击记录的特征,自动生成一条Web入侵防护白名单规则,使WAF后续不对具有相同特征的请求执行对应的系统规则检测。在弹出的新建规则对话框,您只需为自动生成的规则设置规则名称,并单击保存。
说明 极少数情况下,一个请求可能因同时触发多个防护规则被阻断,而通过误报屏蔽生成的白名单规则仅不检测其中一个防护规则。这时,您可以手动修改白名单规则中的特定规则ID参数,将不需要检测的其他规则ID添加进来,并通过钉钉服务群或提交工单向我们反馈该误报记录。成功创建规则后,规则自动启用。您可以在Web入侵防护-白名单页面,查询、编辑、删除已有规则。相关操作,请参见设置Web入侵防护白名单。
关于Web入侵防护的设置方法,请参见以下文档: - 防敏感信息泄露:展示触发了防敏感信息泄露规则的Web请求记录,包括攻击IP、所属地区、攻击时间、攻击URL、请求方法、请求参数、规则动作、规则ID和攻击概率。您可以使用域名、查询时间搜索某个域名在查询时间范围内的数据。
您可以单击某个记录操作列下的查看详情,查看攻击详情。
关于防敏感信息泄露的设置方法,请参见设置防敏感信息泄露。
- 账户安全:展示在账户安全中配置的防护接口上发生的风险事件记录,包括所属域名、接口、异常时间段、已拦截量/总请求量和告警原因。您可以使用域名、接口、查询时间搜索您关注的记录。
关于账户安全的设置方法,请参见设置账户安全。
- 主动防御:展示触发了主动防御自动生成的防护规则的Web应用攻击记录,包括攻击IP、所属地区、攻击时间、攻击URL、请求方法、规则动作、规则ID和攻击概率。您可以使用域名、查询时间搜索某个域名在查询时间范围内的数据。
您可以单击某个记录操作列下的查看详情,查看攻击详情。
关于主动防御的设置方法,请参见设置主动防御。
Bot管理报表说明
- Bot管理报表分为防护效果总览和场景化防护效果两部分。防护效果总览展示了总请求量、Bot识别量和触发了不同防护规则的爬虫请求数量的趋势图。
- Bot识别量:通过多维度的流量特征综合分析出的机器流量总和,可以辅助判断当前配置防爬规则的防护效果(如果实际拦截量远低于识别量,表示防护效果还可以进一步优化;如果实际拦截量接近识别量,表示防护效果良好)。
- 观察模式命中量:设置为观察模式的防爬规则命中的请求量。如果将观察模式改成防护模式,这部分流量将被拦截或挑战(如滑块校验)。
- 实际阻断量:命中防爬规则中处置动作为拦截模式的请求量。
访问控制/限流报表说明
- CC安全防护:展示CC防护趋势,包括总QPS、自定义CC告警、自定义CC拦截、CC系统拦截的数量趋势,和不同规则类型(包括自定义CC告警、自定义CC拦截、CC系统拦截)的匹配次数。
关于CC安全防护的设置方法,请参见设置CC安全防护。
关于自定义CC防护规则的设置方法,请参见设置自定义防护策略。
- 扫描防护:展示扫描防护趋势,包括总QPS、目录遍历防护、协同防御、高频Web攻击、扫描工具封禁的数量趋势,和不同规则类型(包括目录遍历防护、协同防御、高频Web攻击、扫描工具封禁)的匹配次数。
关于扫描防护的设置方法,请参见设置扫描防护。
- 访问控制展示访问控制趋势,包括总QPS、ACL访问控制拦截、ACL访问控制告警、黑名单防护的数量趋势,和自定义规则的匹配次数记录。
关于访问控制规则的设置方法,请参见设置自定义防护策略。
关于IP黑名单的设置方法,请参见设置IP黑名单。
在文档使用中是否遇到以下问题
更多建议
匿名提交