Web应用防火墙(Web Application Firewall,简称WAF)的资产中心功能帮助您梳理云上、云下的域名资产,并根据资产在云上的攻击态势,进行风险等级评估,帮助您掌握业务的整体防护状态。您可以为风险等级较高的域名资产开启防护,提升整体安全防护水平。

步骤一:访问资产中心并授权WAF访问云资源

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,单击资产中心
  3. 资产中心页面,单击免费开通。弹出提示对话框后,单击确定
    说明 使用WAF期间,您只需执行一次授权操作。如果您已经授权过,可跳过该步骤。
    • 首次开通资产中心后,阿里云将自动为您创建WAF服务关联角色(AliyunServiceRoleForWAF)。您可以登录RAM控制台,查看阿里云为WAF自动创建的服务关联角色。具体操作,请参见查看RAM角色

      只有创建服务关联角色AliyunServiceRoleForWAF后,您的WAF实例才能访问云服务器ECS、负载均衡SLB、云解析DNS、CDN、数字证书管理服务、日志服务SLS等关联云服务的资源。

    • 获取WAF访问云资源的授权后,WAF将自动检测与您的阿里云账号相关的域名资产,并在资产中心页面展示检测到的域名资产信息。
      说明 资产中心支持识别的域名资源包含阿里云域名和非阿里云域名,非阿里云域名包括解析至非阿里云服务器的域名和线下IDC机房使用的域名。

      为了使资产中心的识别结果更准确,WAF默认开启主动指纹扫描。针对已接入WAF的资产,采用被动流量学习和主动探测的方式识别资产指纹。主动指纹扫描每两周进行一次,建议您保持开关的开启状态。

步骤二:添加资产

如果您关注的主域名资产未在资产列表中,您可以通过添加资产,手动添加主域名。

  1. 资产中心概览页签,单击资产列表右上角的添加图标。
  2. 添加资产对话框,填写网站域名后,单击下一步
  3. 根据验证DNS提供的记录类型主机记录记录值信息,配置TXT解析记录。

    例如,如果您使用了阿里云的云解析DNS,可登录云解析DNS控制台,并根据验证DNS提供的DNS记录,配置TXT解析记录。具体操作,请参见添加解析记录

  4. 完成上述配置后,单击添加

步骤三:查看资产

资产中心页面,查看域名资产的详细信息。

资产中心
数据类型 说明 相关操作
域名资产数据(图示①区域) 展示您的阿里云账号相关的域名资产数据,包括主域名数、子域名数及较昨日变化数、未防护子域名数(包括未防护高风险域名数、中风险域名数和低风险域名数)。
域名资产详情(图示②区域) WAF将检测发现的域名资产根据主域名进行聚合展示。每个主域名包含以下信息:
  • 主域名:网站绑定的主域名。
  • 解析IP:网站服务器的IP地址、CNAME域名地址。
  • 已防护子域名数:已经接入WAF防护的子域名的数量。
  • 未防护子域名数:未接入WAF防护的子域名的数量,包括对应的高风险、中风险、低风险的子域名数量。
  • 在域名资产列表上方的搜索框,使用域名关键字查询指定主域名。支持模糊查询。
  • 在域名资产列表,单击某个主域名左侧的展开图标,通过设置配置状态、风险级别,筛选要子域名。子域名包含以下信息:
    • 子域名:网站绑定的子域名。
    • 解析IP:网站服务器的IP地址、CNAME域名地址。
    • 指纹:通过被动流量分析+主动指纹扫描,识别网站服务器的指纹信息。

      主动指纹探测开关在您授权资产中心后开启,您可以通过域名资产列表右上角的开关来修改主动指纹探测的开启状态。

    • 云上威胁等级:基于云上近30天攻击趋势,结合威胁情报数据,评估该域名的云上风险等级。对于较高风险的域名,建议您尽快将域名接入WAF防护,以免域名资产遭受入侵。
    • 配置状态:该网站域名是否已接入WAF进行防护。具体包含以下状态:
      • 未接入:网站域名未接入WAF进行防护。您可以单击操作列的接入,将该域名接入WAF。具体操作,请参见CNAME接入
      • 已接入:网站域名已接入WAF进行防护,WAF检测到网站流量且为域名提供全面防护。
  • 单击子域名操作列的威胁详情,查看子域名威胁信息。
    说明 仅包年包月企业版或旗舰版的WAF实例支持该功能。

步骤四:导出资产

  1. 资产中心概览页签,选中需要导出的主域名,并单击右上角的下载图标,开启域名资产下载功能。
  2. 资产中心导出记录页签,单击下载,下载域名资产文档。
    您导出的文件生成后会暂存在阿里云上,三天后会自动删除,请在有效期内下载查看。