DCDN结合Web应用防火墙功能,可以帮您主动防护各类Web应用漏洞,抵抗SQL注入、Webshell上传、XSS跨站等常见Web攻击。全面应对包括域名被浏览器及搜索引擎识别成危险网站、网站出现垃圾内容、恶意弹窗、域名劫持、网站漏洞、网站被挂马中毒、数据泄露、密码被盗等问题。开启DCDN WAF后需要针对加速区域分别设置防护策略,以便针对域名在不同地区的流量进行分别处理。

背景信息

Web应用防火墙(Web Application Firewall,简称 WAF)为您的网站或App业务提供一站式安全防护。WAF可以有效识别Web业务流量的恶意特征,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致服务器性能异常等问题,保障网站的业务安全和数据安全。WAF防护详细功能介绍,请参见什么是Web应用防火墙

前提条件

  • 您已在全站加速控制台开通DCDN WAF功能(开通方式:选择DCDN WAF > 安全总览,单击开通基础版)。
  • 基础版仅支持中国内地,开启加速节点的WAF防护前请您确认域名的加速区域选择为仅中国内地。修改域名加速区域的操作方法,请参见修改基础信息

增值服务

如果您是政府、金融、传媒、零售类客户或月消费金额大于2万,可通过提交工单开通DCDN WAF的高级版或企业版。高级版或企业版相对于基础版提供更多的功能以及其特殊的商业模式,因此需要支付更高的费用,关于更多DCDN WAF具体功能配置,请参见Web应用防火墙,具体功能单击下表中链接即可。
功能项 基础版 高级版 企业版
WEB扫描防护 支持 支持 支持
主动防御 不支持 不支持 支持
账号安全 不支持 支持 支持
CC攻击防护 不支持 支持 支持
海量IP黑名单封禁 支持 支持 支持
Rate Limit 不支持 不支持 支持
爬虫情报库 不支持 不支持 支持
验证码集成 不支持 不支持 支持
爬虫智能算法 不支持 不支持 支持
基础Web攻击防护 支持 支持 支持
0 DAY规则更新防护 支持 支持 支持
预警|阻断模式 支持 支持 支持
解码防混淆编码绕过 不支持 支持 支持
规则组自定义 不支持 不支持 支持
HTTP字段访问控制 不支持 支持 支持
日志服务 不支持 支持(1T) 支持(3T)

配置WAF防护(单个域名)

  1. 登录全站加速控制台
  2. 在左侧导航栏,单击域名管理
  3. 域名管理页面,单击目标域名对应的配置
  4. 在指定域名的左侧导航栏,单击安全设置
  5. DCDN WAF页签下,打开DCDN WAF-中国大陆开关。
  6. 单击修改配置
  7. 根据页面提示,配置Web安全Bot管理访问控制/限流
    配置项 参数 说明
    Web安全 状态 Web入侵防护开关。
    模式 Web入侵防护模式如下:
    • 拦截:发现入侵后直接拦截。
    • 告警:发现入侵后只告警不拦截。
    防护规则组 Web入侵防护规则如下:
    • 宽松规则:当您发现在中等规则下存在较多误拦截时,建议您选择宽松规则。宽松模式下对业务的误报程度最低,但也容易漏过攻击。
    • 中等规则:默认使用中等规则。
    • 严格规则:当您需要更严格地防护路径穿越、SQL注入、命令执行时,建议您选择严格规则
    解码设置 设置需要正则防护引擎解码分析的内容格式。
    1. 单击jiema,打开配置窗口。
    2. 选中或取消选中要解码的格式。
      • 不支持取消的格式:URL解码JavaScript Unicode解码Hex解码注释处理空格压缩
      • 支持取消的格式:Multipart解析JSON解析XML解析PHP序列化解码HTML实体解码UTF-7解码Base64解码Form解析
    3. 单击确定
    说明 为保证防护效果,正则防护引擎默认对请求中所有格式类型的内容进行解码分析。如果您发现正则防护引擎经常对业务中包含指定格式内容的请求造成误拦截,您可以取消解码对应格式,针对性地降低误杀率。
    Bot管理(仅限企业版用户) 合法爬虫 状态 合法爬虫开关。
    说明 合法爬虫提供合法搜索引擎白名单(例如Google、Bing、百度、搜狗、360、Yandex等),可应用于全域名下放行。您可以根据实际需求,单击前去配置,启用或者关闭合法爬虫。
    典型爬虫行为识别 状态 典型爬虫行为识别开关。
    说明 典型爬虫行为识别提供典型爬虫行为识别的通用算法实例,可配置基本业务参数和风险阈值进行机器学习,输出智能防护结果以对抗高级爬虫。您可以根据实际需求,单击前去配置,添加算法规则。
    爬虫威胁情报 状态 爬虫威胁情报开关。
    说明 爬虫威胁情报基于云平台强大的计算能力,提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的威胁情报,可应用于全域名或指定路径下进行阻断。您可以根据实际需求,单击前去配置,编辑情报。
    访问控制/限流 IP黑名单 状态 IP黑名单控制开关。
    说明 IP黑名单支持一键封禁特定的IP地址和地址段访问,以及指定区域的IP地址的访问限制能力。您可以根据实际需求,单击前去配置,添加IP地址黑名单和IP地域黑名单。
    自定义防护策略 状态 自定义防护策略开关。
    说明 自定义防护策略支持自定义精准条件的访问控制规则,以及基于精准条件下的指定统计对象的访问限制自定义规则。您可以根据实际需求,单击前去配置,添加自定义防护策略。

配置WAF防护(多个域名)

  1. 登录全站加速控制台
  2. 在左侧导航栏,选择DCDN WAF > 域名列表
  3. 添加需要防护的域名。
    1. 域名列表页面,单击域名防护接入
    2. 域名防护接入对话框,选择需要接入的域名。
      说明 一次只能选择一个域名进行接入,如果您需要接入多个域名,请多次接入。
    3. 单击确定
  4. 配置防护。
    1. 域名列表页面,单击目标域名对应的防护配置
    2. 根据页面提示,配置Web安全访问控制/限流
      配置项 参数 说明
      Web安全 状态 Web入侵防护开关。
      模式 Web入侵防护模式如下:
      • 拦截:发现入侵后直接拦截。
      • 告警:发现入侵后只告警不拦截。
      防护规则组 Web入侵防护规则如下:
      • 宽松规则:当您发现在中等规则下存在较多误拦截时,建议您选择宽松规则。宽松模式下对业务的误报程度最低,但也容易漏过攻击。
      • 中等规则:默认使用中等规则。
      • 严格规则:当您需要更严格地防护路径穿越、SQL注入、命令执行时,建议您选择严格规则
      解码设置 设置需要正则防护引擎解码分析的内容格式。
      1. 单击jiema,打开配置窗口。
      2. 选中或取消选中要解码的格式。
        • 不支持取消的格式:URL解码JavaScript Unicode解码Hex解码注释处理空格压缩
        • 支持取消的格式:Multipart解析JSON解析XML解析PHP序列化解码HTML实体解码UTF-7解码Base64解码Form解析
      3. 单击确定
      说明 为保证防护效果,正则防护引擎默认对请求中所有格式类型的内容进行解码分析。如果您发现正则防护引擎经常对业务中包含指定格式内容的请求造成误拦截,您可以取消解码对应格式,针对性地降低误杀率。
      Bot管理(仅限企业版用户) 合法爬虫 状态 合法爬虫开关。
      说明 合法爬虫提供合法搜索引擎白名单(例如Google、Bing、百度、搜狗、360、Yandex等),可应用于全域名下放行。您可以根据实际需求,单击前去配置,启用或者关闭合法爬虫。
      典型爬虫行为识别 状态 典型爬虫行为识别开关。
      说明 典型爬虫行为识别提供典型爬虫行为识别的通用算法实例,可配置基本业务参数和风险阈值进行机器学习,输出智能防护结果以对抗高级爬虫。您可以根据实际需求,单击前去配置,添加算法规则。
      爬虫威胁情报 状态 爬虫威胁情报开关。
      说明 爬虫威胁情报基于云平台强大的计算能力,提供拨号池IP、IDC机房IP、恶意扫描工具IP以及云端实时模型生成的恶意爬虫库等多种维度的威胁情报,可应用于全域名或指定路径下进行阻断。您可以根据实际需求,单击前去配置,编辑情报。
      访问控制/限流 IP黑名单 状态 IP黑名单控制开关。
      说明 IP黑名单支持一键封禁特定的IP地址和地址段访问,以及指定区域的IP地址的访问限制能力。您可以根据实际需求,单击前去配置,添加IP地址黑名单和IP地域黑名单。
      自定义防护策略 状态 自定义防护策略开关。
      说明 自定义防护策略支持自定义精准条件的访问控制规则,以及基于精准条件下的指定统计对象的访问限制自定义规则。您可以根据实际需求,单击前去配置,添加自定义防护策略。