本文介绍在开通和使用阿里云Web应用防火墙(WAF)过程中遇到的常用操作和最佳实践,便于您快速了解WAF,熟悉配置方法。

WAF使用流程

WAF是阿里云云盾提供的Web应用防火墙,帮助您监控网站上的HTTP/HTTPS访问请求,并通过自定义过滤规则和启用Web攻击防护等功能,帮助您部署网站访问控制。

参照以下步骤使用WAF :
  1. 开通WAF并将网站接入WAF,使网站的访问流量全部流转到WAF进行监控。
  2. 完成接入后,配置WAF防护功能。WAF将按照配置的防护策略检测并过滤恶意访问请求,只放行合法请求到源站服务器。
  3. WAF正常工作后,随时查看WAF安全报表,了解业务和安全信息;或通过设置功能,查看WAF资源使用情况,调整告警配置等。
  4. 应用WAF最佳实践,完善安全管理;联系安全专家,解决技术问题。

开通WAF

支持通过按量付费或包年包月的计费方式开通WAF。
  • 按量付费:按当日被防护网站的访问QPS峰值和当日选用的WAF防护功能,生成后付费账单;每日结算前一日费用。
  • 包年包月:按月/年计费,选购适用的WAF套餐,生成账单后直接付费;在选购的时长内享用套餐内的防护服务。

开通WAF后,您将获得一个WAF实例(对应一个WAF IP);您可以使用这个WAF实例接入防护最多10个域名,为其开启防护,这10个域名只能使用同一个一级域名。

WAF实例规格
  • WAF版本功能说明

    WAF包年包月模式提供高级版、企业版、旗舰版三种订阅规格。您可以根据要防护网站的业务规模和实际防护需求,选择合适的规格。

  • (仅按量付费)功能与规格配置

    按量付费模式支持实时调整WAF的功能与规格,享受更贴近业务现状的安全防护。功能与规格调整保存后实时生效;每日账单依据当天最高配置进行计算。

  • 额外带宽

    通过包年包月方式选购WAF套餐时,我们需要了解您的正常业务流量,以便区分DDoS攻击等异常流量。每种WAF套餐支持不同的业务带宽,如果您的实际业务正常流量大于套餐内的带宽限制,您需要购买额外带宽。

  • 域名扩展包

    如果您希望防护具有不同一级域名的网站,您需要购买域名扩展包。

  • 独享IP包

    如果您有很重要的域名需要单独防护,而非使用同一个WAF IP防护所有域名,您可以购买独享IP包。

接入WAF

开通WAF后,您可以使用透明代理模式或DNS配置模式将网站接入WAF进行防护。
注意 透明代理模式和DNS配置模式只能选择一种,即如果要使用透明代理模式,必须先清空DNS配置模式下的域名配置记录,反之亦然。
  • 透明代理模式:将所配置的源站服务器公网IP的80端口接收到的HTTP协议的流量直接牵引到WAF,经WAF处理后再将正常的访问流量回注给源站服务器。

    该方式需要您授权WAF读取您的ECS实例信息。配置过程中只用在WAF控制台添加域名和勾选相应的服务器IP。

  • DNS配置模式:通过修改域名解析的方式,将被防护域名的访问流量指向WAF;WAF根据域名配置的源站服务器地址,将处理后的请求转发回源站服务器。
    该方式需要您在WAF控制台添加网站配置来关联要防护的域名,并通过域名解析(DNS),将网站访问请求流转到WAF进行监控。
    • 添加网站配置:网站配置描述了被防护网站的流量转发关系。您可以使用自动或手动的方式添加网站配置。在网站配置中,您需要指定要防护的网站域名和源站服务器地址等信息。完成网站配置后,WAF分配给这个域名一个专用的CNAME地址。
      说明 如果您的域名使用阿里云云解析DNS进行域名解析,在添加网站配置时支持一键自动创建,完成WAF接入;否则,您需要手动创建网站配置并修改DNS解析。
    • 修改DNS解析:只有当您在对应域名的解析记录中添加并应用WAF CNAME记录后,才可以正式将网站访问流量导向WAF实例进行监控。

网站接入WAF后,WAF帮助您过滤恶意请求,放行合法的访问请求至源站服务器。

防护配置

WAF提供多种防护功能,您可以随时调整已接入网站的防护配置,按照实际需求过滤网站访问请求。

您可以自定义ACL访问控制规则,或直接使用封装好的常见Web防护功能。我们结和Web攻击特征,分析请求头和请求主体,编写了精准的过滤算法,并将这些复杂的过滤算法封装各类防护功能,方便您直接使用。
说明 WAF使用多层过滤的机制,即您在启用WAF并配置防护功能后,一个客户端请求在经过WAF时,实际上按顺序经过了多层过滤。默认的防护检测顺序为:精准访问控制 > CC防护 > Web应用攻击防护
操作导航
  • 精准访问控制黑白名单配置

    自定义访问规则,根据客户端IP、请求URL以及常见的请求头字段过滤访问请求。

  • Web应用攻击防护

    帮助您防护SQL注入、XSS跨站攻击等常见的Web攻击。

  • CC安全模式自定义CC防护

    帮助您防护针对页面请求的CC攻击。

  • 大数据深度学习引擎

    对请求做语义分析,检测经伪装或隐藏的恶意请求,帮助您防护通过攻击混淆、变种等方式发起的恶意攻击。

  • 高频Web攻击IP自动封禁

    帮助您自动封禁在短时间内进行多次Web攻击的客户端IP。

  • 目录扫描防护

    帮助您自动封禁在短时间内进行多次目录遍历攻击的客户端IP。

  • 扫描威胁情报

    帮助您自动封禁来自常见扫描工具或阿里云恶意扫描攻击IP库中IP的访问请求。

  • 封禁地区

    帮助您一键封禁来自指定国内省份或海外地区的IP的访问请求。

  • 数据风控

    帮助您对抗机器威胁,如垃圾注册、账号被盗、活动作弊、垃圾消息等欺诈行为。

  • 网站防篡改

    帮助您锁定需要保护的网站页面,被锁定的页面在收到请求时,返回已设置的缓存页面。

  • 防敏感信息泄露

    帮助您过滤服务器返回内容(异常页面或关键字)中的敏感信息,如身份证号、银行卡号、电话号码和敏感词汇等。

安全报表

WAF提供方便的数据可视化和统计功能,方便您查看网站业务信息和安全统计数据。

操作导航
  • 总览

    查看图表化的业务访问数据以及安全防护统计信息。

  • 安全报表

    查询被防护域名在30天内受到的攻击详情和风险预警信息。

  • 全量日志

    搜索网站日志并使用在线分析快速定位请求。

    说明 只有在网站配置页面为域名开启日志检索后,WAF才会收集指定域名的访问日志。
  • 数据大屏:接入可视化大屏,查看WAF的实时攻防态势监控和告警。

WAF设置

WAF提供实例层面的设置功能,帮助您了解和管理WAF实例资源。

操作导航
  • 产品信息

    查看WAF实例的资源详情、WAF的防护规则更新通知、功能更新通知和WAF回源IP段。

  • 告警设置

    WAF通过短信或邮件的方式推送安全事件和系统告警,您可以设置告警触发方式、告警周期以及告警信息接收方式。

  • 自定义规则组

    查看WAF内置防护规则,自由组合规则生成有针对性的防护策略(即自定义规则组),并在相应防护功能中应用自定义策略。

最佳实践

通过WAF最佳实践,更好地应用和管理WAF。

操作导航
  • 获取访问者真实IP

    启用WAF后,源站服务器收到的所有请求都来自WAF实例,无法直接显示客户端IP。本实践指导您查看访问者真实IP。

  • 源站保护

    启用WAF后,源站服务器IP对客户端是隐藏的。如果您的源站服务器IP已公开或不慎泄露,攻击者可能越过WAF,直接对您的源站发动攻击。配置源站保护可以有效防护这种情形。

  • 同时部署WAF和DDoS高防IP

    如果您同时开通了阿里云DDoS高防IP服务和Web应用防火墙,您可以参照本实践进行配置。

  • 同时部署WAF和CDN

    如果您同时开通了阿里云CDN服务和Web应用防火墙,您可以参照本实践进行配置。

有问题,找专家

在使用WAF过程中遇到问题时,将鼠标移动到云盾Web应用防火墙控制台左侧导航栏有问题,找专家?图标上,您可以看到WAF技术支持钉钉群的二维码。

通过钉钉软件扫描该二维码,加入技术支持群,您可以直接向安全专家咨询关于WAF使用的任何技术问题或解决紧急问题。
说明 请参考钉钉官网,下载并安装钉钉聊天软件。

钉钉,扫描,安全专家