WAF

更新时间: 2024-12-06 09:58:45

ESA结合边缘Web应用防火墙WAF(Web Application Firewall)能力,在ESA节点上提供WAF防护功能,可以有效识别业务流量恶意特征,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。

注意事项

通过WAF规则拦截的请求将不会计入费用,也不会消耗套餐额度

功能介绍

配置项

功能描述

自定义规则

如果您的站点需要自定义控制用户的访问策略,您可以在自定义规则中设置请求匹配条件,并通过拦截、观察等方式控制匹配到的用户请求,帮助您的站点更加灵活的限制用户可访问的内容。

频次控制规则

频次控制用于抑制某一类特征的请求访问,例如同一个客户端IP在某一段时间内高频访问您的站点,您希望在超过某个阈值后使用滑块控制其访问频次或拉黑一段时间,即可使用频次控制功能。

托管规则

SQL注入、跨站脚本、代码执行、CRLF、远程文件和WebShell等入侵型攻击一般难以察觉且危害大,很难使用自定义规则、频次控制等规则自行配置攻击特征进行防护。托管规则是阿里云系统内置的智能托管防护规则,可以智能防护OWASP攻击和最新的源站漏洞攻击,您可以直接启用各类攻击的防护而无需手动配置和更新。

扫描防护规则

扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,对攻击源执行拦截操作或自动拉入黑名单,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。

白名单规则

白名单规则允许您根据业务场景,自定义放行具有指定特征的请求,使请求不经过全部或特定防护规则(自定义规则、频次控制、托管规则、扫描防护、Bot管理)的检测。

支持的用户请求特征

一条完整的用户请求筛选规则由条件表达式逻辑判断运算符构成,您可以根据实际业务需求设置多个条件表达式并组合用于筛选用户请求。更多条件规则的创建及部署请参见规则引擎

执行动作说明

当请求命中某条规则时,要执行的防护动作说明如下:

执行动作

说明

拦截

表示拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。

观察

表示不拦截命中规则的请求,只通过日志记录请求命中了规则。您可以通过WAF日志,查询命中当前规则的请求,分析规则的防护效果(例如,是否有误拦截等)。

JS挑战

表示WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求(不需要重复验证),否则拦截请求。

滑块验证

表示WAF向客户端返回滑动验证页面。如果客户端成功执行滑动验证,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求(不需要重复验证),否则拦截请求。

执行顺序说明

不同的规则执行顺序:白名单规则 > 扫描防护规则 > 托管规则 > 自定义规则 > 频次控制规则 > Bot。

上一篇: 事件分析 下一篇: 自定义规则