DCDN结合边缘Web应用防火墙WAF(Web Application Firewall)能力,在DCDN节点上提供WAF防护功能,可以有效识别业务流量恶意特征,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。

注意
  • 当前DCDN WAF和WebSocket协议不兼容,无法同时开启。
  • WAF主要保护您的源站不被入侵,但无法防止您的DCDN域名被恶意用户盗刷流量。每个访问您域名的请求都将进入WAF引擎检测,因此无论最终对请求是拦截还是观察,请求都将被计费。

    如果您的域名有被盗刷流量的风险,不建议使用全站加速服务。您也可以通过阿里云监控服务的云产品监控配置带宽/QPS的阈值报警,有流量异常波动时及时停用全站加速服务。

前提条件

  • 您已在全站加速控制台开通DCDN WAF功能(开通方式:选择DCDN WAF > 安全总览,单击开通基础版)。
    说明 如果您是政府、金融、传媒、零售类客户或月消费金额大于2万,可通过提交工单开通DCDN WAF的高级版或企业版。
  • 基础版仅支持中国内地,开启加速节点的WAF防护前请您确认域名的加速区域选择为仅中国内地。修改域名加速区域的操作方法,请参见切换加速区域

功能说明

阿里云DCDN的WAF功能,是指DCDN融合了WAF能力,在DCDN节点上提供WAF防护功能。WAF防护具体功能,请参见什么是Web应用防火墙

不同版本的DCDN WAF支持的网站防护配置,请参见下表,单击下表链接即可查看详细功能介绍。
功能项 基础版 高级版 企业版
Web扫描防护 支持 支持 支持
主动防御 不支持 不支持 支持
账号安全 不支持 支持 支持
CC攻击防护 不支持 支持 支持
海量IP黑名单封禁 支持 支持 支持
Rate Limit 不支持 不支持 支持
爬虫情报库 不支持 不支持 支持
验证码集成 不支持 不支持 支持
爬虫智能算法 不支持 不支持 支持
基础Web攻击防护 支持 支持 支持
0 DAY规则更新防护 支持 支持 支持
预警|阻断模式 支持 支持 支持
解码防混淆编码绕过 不支持 支持 支持
规则组自定义 不支持 不支持 支持
HTTP字段访问控制 不支持 支持 支持
日志服务 不支持 支持(1T) 支持(3T)

费用说明

当您开启WAF功能后,DCDN WAF会对此域名的所有请求进行检测,并按照账户维度,对域名开启WAF功能的请求次数汇总,然后收费。DCDN WAF计费方式,请参考DCDN WAF计费

阿里云为您提供边缘WAF资源包:点击购买

配置WAF防护(单个域名)

  1. 登录全站加速控制台
  2. 在左侧导航栏,单击域名管理
  3. 域名管理页面,单击目标域名对应的配置
  4. 单击安全设置,选择WAF防护页签。
  5. 打开WAF防护-中国大陆开关。
  6. 配置防护。
    1. 单击修改配置
    2. 根据业务需求和页面提示,添加网站防护配置(例如Web安全、Bot管理等)。

配置WAF防护(多个域名)

  1. 登录全站加速控制台
  2. 在左侧导航栏,选择WAF防护 > 配置管理
  3. 添加需要防护的域名。
    1. 单击域名防护接入
    2. 域名防护接入对话框,选择需要接入的域名。
      说明 一次只能选择一个域名进行接入,如果您需要接入多个域名,请多次接入。
    3. 单击确定
  4. 配置防护。
    1. 单击目标域名对应的防护配置
    2. 根据业务需求和页面提示,添加网站防护配置(例如Web安全、Bot管理等)。

添加网站防护配置

Web安全

功能 参数 说明
Web入侵防护 状态 Web入侵防护开关。
模式 Web入侵防护模式如下:
  • 拦截:发现入侵后直接拦截。
  • 告警:发现入侵后只告警不拦截。
防护规则组 Web入侵防护规则如下:
  • 宽松规则:当您发现在中等规则下存在较多误拦截时,建议您选择宽松规则。宽松模式下对业务的误报程度最低,但也容易漏过攻击。
  • 中等规则:默认使用中等规则。
  • 严格规则:当您需要更严格地防护路径穿越、SQL注入、命令执行时,建议您选择严格规则
解码设置 设置需要正则防护引擎解码分析的内容格式。
  1. 单击jiema,打开配置窗口。
  2. 选中或取消选中要解码的格式。
    • 不支持取消的格式:URL解码JavaScript Unicode解码Hex解码注释处理空格压缩
    • 支持取消的格式:Multipart解析JSON解析XML解析PHP序列化解码HTML实体解码UTF-7解码Base64解码Form解析
  3. 单击确定
说明 为保证防护效果,正则防护引擎默认对请求中所有格式类型的内容进行解码分析。如果您发现正则防护引擎经常对业务中包含指定格式内容的请求造成误拦截,您可以取消解码对应格式,针对性地降低误杀率。
高级防护 状态 开启或关闭主动防御功能。
模式
  • 告警:只触发告警,不阻断攻击请求。
  • 拦截:直接阻断攻击请求。

Bot管理

功能 参数 说明
合法爬虫 状态 合法爬虫开关。
说明 合法爬虫提供合法搜索引擎白名单(例如Google、Bing、百度、搜狗、360、Yandex等),可应用于全域名下放行。您可以根据实际需求,单击前去配置,启用或者关闭合法爬虫。
典型爬虫行为识别 状态 典型爬虫行为识别开关。
说明 典型爬虫行为识别提供典型爬虫行为识别的通用算法实例,可配置基本业务参数和风险阈值进行机器学习,输出智能防护结果以对抗高级爬虫。您可以根据实际需求,单击前去配置,添加算法规则。
爬虫威胁情报 状态 爬虫威胁情报开关。
说明 爬虫威胁情报基于云平台强大的计算能力,提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的威胁情报,可应用于全域名或指定路径下进行阻断。您可以根据实际需求,单击前去配置,编辑情报。
App防护 状态 App防护开关。
说明 为原生App提供可信通信、防机器脚本滥刷等安全防护。需要集成阿里云的SDK。

访问控制/限流

功能 参数 说明
CC安全防护 状态 防护开关。
说明 打开后基于Challenge Collapsar(CC) 攻击的流量特征,帮助您防护针对页面请求的CC攻击,并提供不同模式的防护策略。
模式
  • 防护(默认模式):网站无明显流量异常时采用此模式,避免误杀。
  • 防护-紧急:在网站出现异常情况时,选用此模式。
扫描防护 高频Web攻击封禁 防护开关。
开启后自动封禁在短时间内发起多次Web攻击的客户端IP。
  • 单击前去配置可自定义防护策略。
  • 单击解封当前封禁IP可手动解封。
目录遍历防护 防护开关。
开启后自动封禁在短时间内发起多次目录遍历攻击的客户端IP。
  • 单击前去配置可自定义防护策略。
  • 单击解封当前封禁IP可手动解封。
扫描工具封禁 防护开关。打开后自动阻断常见扫描工具IP的访问请求。
协同防御 防护开关。打开后自动阻断阿里云全球恶意扫描攻击IP库中IP的访问请求。
IP黑名单 状态 IP黑名单控制开关。

IP黑名单支持一键封禁特定的IP地址和地址段访问,以及指定区域的IP地址的访问限制能力。

说明 您可以根据实际需求,单击前去配置,添加IP地址黑名单和IP地域黑名单。
自定义防护策略 状态 自定义防护策略开关。

自定义防护策略支持自定义精准条件的访问控制规则,以及基于精准条件下的指定统计对象的访问限制自定义规则。

说明 您可以根据实际需求,单击前去配置,添加自定义防护策略。

查看WAF日志和报表

当您的网站接入WAF防护后,您可通过报表查看域名遭受的攻击情况和产品的防护效果。详细日志和报表请参见查看WAF日志和报表