通过托管规则和扫描防护规则,帮助新上线的网站或应用快速搭建基础防护策略,降低安全事件发生的风险,保障业务稳定运行。
背景信息
任何暴露在互联网上的Web应用,都持续面临着来自全球的自动化、低成本的攻击。这些攻击包括漏洞扫描、恶意爬虫、以及利用OWASP Top 10等常见漏洞的自动化攻击脚本。
为应用建立一个坚实的基础安全基线,是抵御绝大多数威胁、保障业务稳定运行的第一步,也是后续所有精细化策略的基石。该方案旨在帮助您解决以下核心问题:
防护能力缺失:避免应用在低防护状态下直接暴露于公网。
自动化攻击:有效抵御来自僵尸网络和自动化工具的、不分目标的攻击。
信息泄露:防止扫描器探知网站技术栈、目录结构、潜在漏洞等敏感信息。
运维噪音:过滤掉海量的自动化扫描日志,让安全人员可以聚焦于真实的、高级的攻击事件。
Web漏洞攻击:有效拦截常见的Web漏洞攻击(如SQL注入、XSS跨站脚本、命令执行等)。
操作步骤
配置托管规则
托管规则是WAF的核心,由阿里云安全专家团队持续更新和维护,以抵御已知的通用Web攻击。通过托管规则可以简单方便的防御SQL注入、跨站脚本、代码执行、CRLF、远程文件和WebShell等入侵型攻击。
基础版套餐仅支持由数条0-day漏洞、以及最常见的攻击(例如针对log4j的漏洞攻击)防护组成的基础防护规则。为使用本文中描述的全部规则,您的站点需订阅标准版及以上套餐。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在站点详情页面,选择安全防护>WAF>托管规则,单击启用。
(可选)点击编辑,可查看或修改详细的编辑托管规则集的防护策略。
配置扫描防护规则
扫描防护规则是专门识别和拦截自动化扫描工具的防护模块,支持高频扫描封禁和目录遍历封禁,可以有效阻止攻击者或扫描器对网站的大规模扫描行为。
仅标准版及以上套餐支持配置扫描防护规则。
站点防爆破防护
利用高频扫描封禁配置,对高频触发托管规则拦截(疑似爆破)的恶意客户端拦截1天。
必须先开启托管规则,高频扫描封禁配置的规则才能生效。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在站点详情页面,选择。
填写规则集名称,例如:站点防爆破防护。
填写如果请求匹配以下规则...,用户请求特征保持不变,主机名选择当前站点下绑定的域名。
选择高频扫描封禁,点击配置。封禁规则为:同一个客户端IP,在1分钟内,触发10次基础防护规则,并且触发的规则数大于2次,则封禁1天。
打开扫描工具封禁。
最终执行…操作选择拦截操作和默认拦截页面。
点击确定,站点防爆破防护规则即可创建完成并生效。
站点防扫描防护
利用目录遍历封禁配置,拦截扫描工具请求,并对扫描404目录的IP做封禁。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在站点详情页面,选择。
填写规则集名称,例如:站点扫描防护。
填写如果请求匹配以下规则...,用户请求特征保持不变,主机名选择当前站点下绑定的域名。
选择目录遍历封禁,点击配置。封禁规则为:同一个客户端IP,在10秒内,对防护对象请求超过20次,并且404响应码比例超过70%,不存在的目录超过5个,则封禁30分钟。
打开扫描工具封禁。
最终执行…操作选择拦截操作和默认拦截页面。
点击确定,站点防扫描防护规则即可创建完成并生效。