通过在 Node.js 应用中集成RASP(Runtime Application Self-Protection)探针,应用防护能够实时监测并抵御恶意行为和安全威胁,确保应用持续稳定运行。本文介绍首次将 Node.js 应用接入应用防护的具体操作步骤。
前提条件
需接入应用所在服务器的云安全中心客户端为在线状态。
在资产中心 > 主机资产页面的服务器页签通过服务器客户端列图标的状态判断客户端是否在线,
图标表示在线。如果客户端离线,请参考客户端离线排查处理。如果是以RAM用户身份使用应用防护功能,请确保RAM用户拥有
AliyunYundunWAFFullAccess、AliyunYundunSASFullAccess权限策略。授权的具体操作,请参见管理RAM用户的权限。
1. 创建应用分组
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在应用配置页签,单击新建应用分组。
在新建应用分组向导页面,输入要新建的应用分组名称,应用语言选择Node.js,输入备注信息,然后单击下一步。
建议您根据需要防护的Web业务进程设置应用分组名称,应用分组名称不可重复。应用语言选择后不支持修改。
完成该操作后,云安全中心会创建一个应用分组。
2. 手动接入
在应用配置页签,找到刚刚创建的 Node.js 应用。在操作列单击接入管理。
选择 手动接入 > 接入指南里提供的两种安装方式(快捷安装和标准安装)之一进行安装。
安装完成后按照验证安装提供的方案进行验证。
3. 设置防护策略
在应用配置页签,找到刚刚创建的 Node.js 应用。在操作列单击防护策略。在弹出的防护策略对话框中参照下面的说明进行设置。
默认防护模式为监控模式,建议您先使用监控模式2~5天,如果在此期间未出现误告警您可以将防护模式修改为防护。如果出现误告警,您可以通过配置白名单规则,屏蔽产生误拦截的检测类型。具体操作,请参见将告警加入白名单。
分类 | 配置项 | 说明 |
防护策略 | 应用分组名称 | 展示应用分组的名称,在此处不支持修改。 |
防护状态 | 选择是否为当前应用分组开启或关闭防护,默认开启。关闭后应用防护不检测也不阻断任何攻击行为。 | |
防护模式 | 选择应用分组的防护模式,可选项:
| |
防护策略组 | 默认的防护策略组是日常运行组。您可以在下拉列表中选择其他防护策略组。防护策略组的更多信息,请参见防护策略管理。 | |
检测类型 | 展示已选择的防护策略组支持的检测类型。 | |
常用配置 | 检测超时时间 | 攻击检测的最大时间,输入范围为1~60,000毫秒,默认设置为50毫秒。若攻击检测超过设置的时间,即使未完成检测逻辑也会继续执行原始业务逻辑。如无特殊原因,建议使用默认值。 |
源IP判断方式 |
| |
运行时熔断配置 | 开启该功能后,当服务器或进程的资源占用率超过CPU或内存任一熔断值时,RASP的实时防护将自动停止。当服务器或进程资源占用率低于设置的所有熔断值时,RASP的防护能力会自动恢复。 该功能可以保障业务在高峰情况下稳定运行,默认为关闭状态。如果您的应用为对性能敏感的计算型业务,可以开启该功能。配置说明如下:
重要
|
4. 验证应用接入情况
如果应用进程的PID展示在应用分组的已授权实例列表中,则说明该应用已正常接入应用防护。参考以下步骤可查看已接入的应用列表。
在应用防护页面的应用配置页签,单击目标应用分组已授权进程列下的数字。
在进程详情面板,查看已接入的应用列表。
如果目标服务器的应用进程PID在应用列表中,则表示该应用已成功接入应用防护。

使用限制
Node.js 版本必须大于等于 18.0.0。
推荐 Node.js 20.6+,以获得完整的 --import 支持。20.6 以下版本请使用 --require 方式加载。