设置主动防御
网站接入Web应用防火墙防护后,您可以为网站开启主动防御功能。主动防御采用阿里云自研的机器学习算法,自主学习网站域名的合法流量,并自动为网站生成定制化的安全防护策略,防御未知攻击。
前提条件
已开通Web应用防火墙实例,且实例满足以下要求:
包年包月实例:实例版本是旗舰版及以上规格。
按量计费实例:已在账单与套餐中心,开启Web入侵防护模块下主动防御功能。
更多信息,请参见账单与套餐中心(按量2.0版本)。
已开通Web应用防火墙实例,且实例版本是旗舰版及以上规格。
已完成网站接入。具体操作,请参见使用教程。
背景信息
传统的Web攻击防护基于安全检测规则。主动防御通过无监督学习的方式,对域名的访问流量进行深度学习,并根据机器学习算法模型为不同访问请求打分,标记正常分值。在请求分值的基础上,主动防御能够定义域名的正常访问流量基线,并基于此生成定制化的安全策略。通过将流量分层的方式,结合主动防御与Web应用防火墙的其他安全检测体系,为域名提供更加全面的攻击防护。
操作步骤
在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
在网站防护页面上方,切换到要设置的域名。
单击Web安全页签,定位到主动防御区域,完成以下功能配置。
参数
说明
状态
开启或关闭主动防御功能。
模式
检测发现攻击请求时,对攻击请求执行的操作。可选值:
告警:只触发告警,不阻断攻击请求。
拦截:直接阻断攻击请求。
说明默认情况下,主动防御采用告警模式。所有主动防御安全规则仅将命中规则的请求上报至安全报表,并不会进行拦截。建议您通过安全报表观察一段时间,确认主动防御的安全规则没有出现误拦截的情况后,再切换到拦截模式。
网站域名首次开启主动防御后,WAF将自动使用机器学习算法模型对域名的历史流量进行深度学习,并基于学习结果为该域名生成定制化的安全策略。机器学习算法模型的首次学习时长与域名的历史流量大小有关,通常需要大约一小时完成首次学习并生成安全策略。学习完成后,您将收到站内信、短信、邮件通知。
重要主动防御的学习程序是一次性的,如果您手动关闭主动防御后再重新开启,则WAF会重新执行一遍学习程序。WAF产品版本升级不会对已有学习结果产生影响,该情形无需重新执行学习程序;但是,如果接入WAF防护的业务形态发生变化(例如,域名上的业务类型变更等),则已有学习结果将不再适用,建议您重新执行一遍学习程序。