本文介绍了Web应用防火墙服务支持的所有网站防护配置功能。

模块功能描述开启方式相关文档
Web安全规则防护引擎基于内置的专家经验规则集,自动为网站防御SQL注入、XSS跨站、WebShell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。接入后自动开启。设置规则防护引擎

规则防护引擎最佳实践

防护规则组支持自由组合Web应用防火墙的防护规则,形成有针对性的防护规则组,应用到具体的网站防护。
说明 目前仅支持自定义规则防护引擎的防护规则组。
接入后手动开启。自定义防护规则组

使用自定义规则组提升Web攻击防护效果

网站防篡改帮助您锁定需要保护的网站页面(例如敏感页面),被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改。接入后手动开启。设置网站防篡改
防敏感信息泄露帮助网站过滤服务器返回内容(异常页面或关键字)中的敏感信息(例如身份证号、银行卡号、电话号码和敏感词汇),脱敏展示敏感信息或返回默认异常响应页面。接入后手动开启。设置防敏感信息泄露
主动防御采用阿里云自研的机器学习算法自主学习域名的合法流量,并自动为域名生成定制化的安全防护策略,防御未知攻击。接入后手动开启。设置主动防御
Bot管理 合法爬虫提供合法搜索引擎白名单(例如Google、Bing、百度、搜狗、Yandex等),方便您为域名设置放行合法爬虫的访问请求。接入后手动开启。设置合法爬虫规则
爬虫威胁情报基于云平台强大的计算能力,提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的爬虫威胁情报规则,方便您在全域名或指定路径下设置阻断恶意爬虫的访问请求。接入后手动开启。设置爬虫威胁情报规则
数据风控帮助您防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。接入后手动开启。设置数据风控
App防护专门针对原生App端,提供可信通信、防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。接入后手动开启。设置App防护
访问控制/限流 CC安全防护基于CC流量特征,帮助您防御针对页面请求的CC攻击,并提供不同模式的防护策略。接入后自动开启。设置CC安全防护

CC攻击防护最佳实践

IP黑名单支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。接入后手动开启。设置IP黑名单
扫描防护帮助网站自动阻断包含指定特征的访问请求,例如请求源IP在短期内发起多次Web攻击或目标遍历攻击、请求源IP来自常见扫描工具或阿里云恶意扫描攻击IP库。接入后手动开启。设置扫描防护
自定义防护策略支持自定义基于精确匹配条件的访问控制规则和访问频率限制规则。接入后手动开启。设置自定义防护策略
防护实验室账户安全帮助您识别与账户关联的业务接口(例如注册、登录等)上发生的账户安全风险事件,包括撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷。接入后手动开启。设置账户安全

账户安全最佳实践

防护白名单网站白名单通过设置网站白名单,可以让满足条件的请求不经过任何Web应用防火墙防护模块的检测,直接访问源站服务器。接入后手动开启设置网站白名单
Web入侵防护白名单通过设置Web入侵防护白名单,可以让满足条件的请求忽略指定模块(规则防护引擎)的检测。接入后手动开启。设置Web入侵防护白名单
数据安全白名单通过设置数据安全白名单,可以让满足条件的请求忽略指定模块(防敏感信息泄露、网站防篡改、账户安全)的检测。接入后手动开启。设置数据安全白名单
Bot管理白名单通过设置Bot管理白名单,可以让满足条件的请求忽略指定模块(爬虫威胁情报、数据风控、智能算法、App防护)的检测。接入后手动开启。设置Bot管理白名单
访问控制/限流白名单通过设置访问控制/限流白名单,可以让满足条件的请求忽略指定模块(CC安全防护、IP黑名单、扫描防护、自定义防护策略)的检测。接入后手动开启。设置访问控制/限流白名单