重保场景防护最佳实践

配置流程

步骤一：确保资产已全部接入WAF

在配置重保期间的防护策略前，首先要确认Web应用资产是否已全部接入WAF。您可以通过资产中心，排查相关情况。更多信息，请参见资产中心。

1. 登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。

2. 在左侧导航栏，单击资产中心。

3. 在概览页签的资产列表，查看主域名的未防护子域名数。

   • 若未防护子域名数为0，表示该主域名下的子域名均已接入WAF防护。

   • 若未防护子域名数不为0，表示该主域名下存在未接入WAF防护的子域名。

     1. 单击主域名左侧的图标，定位到配置状态为未接入的子域名，单击子域名操作列的接入。

     2. 在接入管理页面，将子域名接入WAF。具体操作，请参见添加域名。

步骤二：设置源站保护策略

通过CNAME接入方式将网站接入WAF后，网站访问请求经过WAF检测，正常流量会被转发回源站。重保期间，为避免黑客获取您的源站IP并绕过WAF直接攻击源站，您可以设置源站服务器的访问控制策略，只放行WAF回源IP段的入方向流量。

1. 在左侧导航栏，单击接入管理。

2. 在CNAME接入页签，单击Web应用防火墙回源IP网段列表。在回源IP段对话框，单击复制。

   

3. 配置源站访问控制策略，放行步骤2复制的IP网段。具体操作，请参见步骤三：设置ECS安全组规则或步骤四：设置SLB访问控制。

步骤三：设置允许访问源站的范围

重保期间，可配置区域封禁策略，封禁非业务访问地区的请求；也可通过IDC封禁，封禁来自IDC或者云厂商的请求源IP。针对有伙伴、业务联动等业务需要场景，您也可以单独加白该请求源IP。具体操作，请参见设置白名单规则放行特定请求。

区域封禁

1. 在左侧导航栏，选择防护配置 > 防护规则。

2. 定位到区域封禁区域，新建或编辑已有规则模板。

3. 在区域封禁规则配置面板，定位到选择封禁区域，选中所有非业务访问区域，配置规则动作和生效对象后，单击确定。

IDC和云厂商封禁

1. 在左侧导航栏，选择防护配置 > 场景防护 > BOT管理。

2. 单击场景化防护页签，新建或编辑已有规则模板。

3. 在防护场景定义配置向导，设置防爬保护目标的基础信息，并单击下一步。

4. 在防护规则推荐配置向导，去勾选所有配置项。定位到Bot威胁情报区域，选中IDC黑名单封禁，勾选要封禁的IP库、配置规则动作后，单击下一步。

5. 选择生效对象，单击下一步，完成配置。

步骤四：配置基础防护策略

重保期间，建议您将基础防护策略中的防护动作设置为拦截，自动阻断攻击请求。

1. 在左侧导航栏，选择防护配置 > 防护规则。

2. 定位到基础防护规则区域，新建或编辑已有规则模板。

3. 在基础防护规则配置面板，确认生效对象已全量覆盖，设置防护动作为拦截。

步骤五：检查并配置扫描防护策略

重保期间，攻击者会使用扫描工具对目标网站进行探测及漏洞扫描。为避免该种情况，您可以开启扫描防护策略中的高频扫描封禁、目录遍历封禁、扫描工具封禁，减少攻击者对源站信息的获取，甚至封禁掉攻击者IP的手动攻击。

1. 在左侧导航栏，选择防护配置 > 防护规则。

2. 定位到扫描防护区域，新建或编辑已有规则模板。

3. 在扫描防护规则配置面板，开启高频扫描封禁、目录遍历封禁、扫描工具封禁，配置防护动作和生效对象。

步骤六：配置重保场景防护策略

重保防护场景策略提供专项的场景化能力，包括：重保威胁情报、重保防护规则组、重保IP黑名单、shiro反序列化漏洞防护。您可以参考如下步骤配置重保场景防护策略。

1. 在左侧导航栏，选择防护配置 > 场景防护 > 重保场景防护。

2. 在防护模板页签，新建或编辑已有规则模板。

3. 在重保防护模板面板，完成以下配置。

   1. 配置基本信息。完成后，单击下一步。

      配置项	说明
      模板名称	为该模板设置一个名称。 长度为1~255个字符，支持中文和大小写英文字母，可包含数字、半角句号（.）、下划线（_）和短划线（-）。
      防护规则	配置要应用的防护规则并配置规则动作。 重保威胁情报：攻防对抗恶意IP情报，精准识别攻击者。默认开启，且防护动作配置为观察。 重保防护规则组：基于智能防护模型，针对每个用户生成精准的防护规则集合。默认开启，且防护动作配置为观察。 重保IP黑名单：开启该功能，WAF会观察或拦截来自特定IP地址或地址段的请求，支持下发50,000条自定义IP或IP段黑名单。 Shiro反序列化漏洞防护：开启该功能，WAF会基于cookie加密技术防护Apache Shiro Java反序列化漏洞。
      生效对象	从已添加的防护对象及对象组中，选择要应用该模板的防护对象和防护对象组。

   2. 如果配置基本信息时，开启重保IP黑名单防护规则，则需要通过以下方式配置IP黑名单。完成后，单击下一步。

      配置项	操作
      新增IP黑名单	单击新增IP黑名单，可手动添加IP黑名单。 在IP黑名单文本框，输入要加入黑名单的IP，回车保存。 说明 IP黑名单为IPv6或CIDR掩码格式的地址段，多个地址之间用回车或英文逗号分隔，最多配置500个。 设置生效截止时间。可选项： 永久生效。 自定义。单击时间选择器，指定具体的生效截止时间。 在备注文本框，输入备注信息后，单击确定。 成功新增黑名单后，您可在IP黑名单配置面板查看新增的IP黑名单。
      导入IP黑名单	单击导入IP黑名单，可批量导入IP黑名单。 单击上传文件，选择要导入的IP黑名单文件。 重要 支持上传CSV格式文件。 支持导入IPv4和IPv6格式的地址和地址段。 每条规则可导入一个文件，每个文件最多支持2000个IP/IP段，一个IP段占用1个计数单元，单次导入的文件大小不能超过1 MB。 有大批量IP导入的情况下，可分多次导入。 设置生效截止时间。可选项： 永久生效。 自定义。单击时间选择器，指定具体的生效截止时间。 在备注文本框，输入备注信息后，单击确定。 成功新增黑名单后，您可在IP黑名单配置面板查看新增的IP黑名单。
      清空所有IP	如果已添加IP的请求不再需要被拦截，您可以单击清空所有IP，删除所有IP。
      清空过期IP	如果已添加IP的生效截止时间已过期，您可以单击清空过期IP，清空所有过期IP。

相关文档

• 设置区域封禁规则封禁特定区域请求

• 设置网页防爬场景化规则防御网页爬虫

• 基础防护规则和规则组

• 扫描防护规则