重保场景防护最佳实践

重要节假日、攻防演练或重要活动保障期间,Web应用对于攻击的容忍度极低。为应对这种情况,您可以通过配置基础防护和重保场景防护策略,制定更加精准和定制化的防御模式,提升特定时间段的防护效果。本文介绍如何配置重保期间的防护策略。

前提条件

配置流程

image

步骤一:确保资产已全部接入WAF

在配置重保期间的防护策略前,首先要确认Web应用资产是否已全部接入WAF。您可以通过资产中心,排查相关情况。更多信息,请参见资产中心

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,单击资产中心

  3. 概览页签的资产列表,查看主域名的未防护子域名数

    • 未防护子域名数0,表示该主域名下的子域名均已接入WAF防护。

    • 未防护子域名数不为0,表示该主域名下存在未接入WAF防护的子域名。

      1. 单击主域名左侧的展开图标,定位到配置状态未接入的子域名,单击子域名操作列的接入

      2. 接入管理页面,将子域名接入WAF。具体操作,请参见添加域名

步骤二:设置源站保护策略

通过CNAME接入方式将网站接入WAF后,网站访问请求经过WAF检测,正常流量会被转发回源站。重保期间,为避免黑客获取您的源站IP并绕过WAF直接攻击源站,您可以设置源站服务器的访问控制策略,只放行WAF回源IP段的入方向流量。

  1. 在左侧导航栏,单击接入管理

  2. CNAME接入页签,单击Web应用防火墙回源IP网段列表。在回源IP对话框,单击复制

    Web应用防火墙回源IP网段列表

  3. 配置源站访问控制策略,放行步骤2复制的IP网段。具体操作,请参见步骤三:设置ECS安全组规则步骤四:设置SLB访问控制

步骤三:设置允许访问源站的范围

重保期间,可配置区域封禁策略,封禁非业务访问地区的请求;也可通过IDC封禁,封禁来自IDC或者云厂商的请求源IP。针对有伙伴、业务联动等业务需要场景,您也可以单独加白该请求源IP。具体操作,请参见设置白名单规则放行特定请求

区域封禁

  1. 在左侧导航栏,选择防护配置 > Web基础防护

  2. 定位到区域封禁区域,新建或编辑已有规则模板。

  3. 在区域封禁规则配置面板,定位到选择封禁区域,选中所有非业务访问区域,配置规则动作生效对象后,单击确定

IDC和云厂商封禁

  1. 在左侧导航栏,选择防护配置 > BOT管理

  2. 单击场景化防护页签,新建或编辑已有规则模板。

  3. 防护场景定义配置向导,设置防爬保护目标的基础信息,并单击下一步

  4. 防护规则推荐配置向导,去勾选所有配置项。定位到Bot威胁情报区域,选中IDC黑名单封禁,勾选要封禁的IP库、配置规则动作后,单击下一步

  5. 选择生效对象,单击下一步,完成配置。

步骤四:配置基础防护策略

重保期间,建议您将基础防护策略中的防护动作设置为拦截,自动阻断攻击请求。

  1. 在左侧导航栏,选择防护配置 > Web基础防护

  2. 定位到基础防护规则区域,新建或编辑已有规则模板。

  3. 在基础防护规则配置面板,确认生效对象已全量覆盖,设置防护动作拦截

步骤五:检查并配置扫描防护策略

重保期间,攻击者会使用扫描工具对目标网站进行探测及漏洞扫描。为避免该种情况,您可以开启扫描防护策略中的高频扫描封禁目录遍历封禁扫描工具封禁,减少攻击者对源站信息的获取,甚至封禁掉攻击者IP的手动攻击。

  1. 在左侧导航栏,选择防护配置 > Web基础防护

  2. 定位到扫描防护区域,新建或编辑已有规则模板。

  3. 在扫描防护规则配置面板,开启高频扫描封禁目录遍历封禁扫描工具封禁,配置防护动作生效对象

步骤六:配置重保场景防护策略

重保防护场景策略提供专项的场景化能力,包括:重保威胁情报、重保防护规则组、重保IP黑名单、shiro反序列化漏洞防护。您可以参考如下步骤配置重保场景防护策略。

  1. 在左侧导航栏,选择防护配置 > 重保场景防护

  2. 防护模板页签,新建或编辑已有规则模板。

  3. 在重保防护模板面板,完成以下配置。

    1. 配置基本信息。完成后,单击下一步

      配置项

      说明

      模板名称

      为该模板设置一个名称。

      长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

      防护规则

      配置要应用的防护规则并配置规则动作。

      • 重保威胁情报:攻防对抗恶意IP情报,精准识别攻击者。默认开启,且防护动作配置为观察

      • 重保防护规则组:基于智能防护模型,针对每个用户生成精准的防护规则集合。默认开启,且防护动作配置为观察

      • 重保IP黑名单:开启该功能,WAF会观察或拦截来自特定IP地址或地址段的请求,支持下发50,000条自定义IPIP段黑名单。

      • Shiro反序列化漏洞防护:开启该功能,WAF会基于cookie加密技术防护Apache Shiro Java反序列化漏洞。

      生效对象

      从已添加的防护对象及对象组中,选择要应用该模板的防护对象防护对象组

    2. 如果配置基本信息时,开启重保IP黑名单防护规则,则需要通过以下方式配置IP黑名单。完成后,单击下一步

      配置项

      操作

      新增IP黑名单

      单击新增IP黑名单,可手动添加IP黑名单。

      1. IP黑名单文本框,输入要加入黑名单的IP,回车保存。

        说明

        IP黑名单为IPv6CIDR掩码格式的地址段,多个地址之间用回车或英文逗号分隔,最多配置500个。

      2. 设置生效截止时间。可选项:

        • 永久生效

        • 自定义。单击时间选择器,指定具体的生效截止时间。

      3. 备注文本框,输入备注信息后,单击确定

        成功新增黑名单后,您可在IP黑名单配置面板查看新增的IP黑名单。

      导入IP黑名单

      单击导入IP黑名单,可批量导入IP黑名单。

      1. 单击上传文件,选择要导入的IP黑名单文件。

        重要
        • 支持上传CSV格式文件。

        • 支持导入IPv4IPv6格式的地址和地址段。

        • 每条规则可导入一个文件,每个文件最多支持2000IP/IP段,一个IP段占用1个计数单元,单次导入的文件大小不能超过1 MB。

        • 有大批量IP导入的情况下,可分多次导入。

      2. 设置生效截止时间。可选项:

        • 永久生效

        • 自定义。单击时间选择器,指定具体的生效截止时间。

      3. 备注文本框,输入备注信息后,单击确定

        成功新增黑名单后,您可在IP黑名单配置面板查看新增的IP黑名单。

      清空所有IP

      如果已添加IP的请求不再需要被拦截,您可以单击清空所有IP,删除所有IP。

      清空过期IP

      如果已添加IP的生效截止时间已过期,您可以单击清空过期IP,清空所有过期IP。

相关文档

  • 如果您希望通过识别客户端访问请求的来源区域,一键封禁来自特定区域的访问或者允许特定区域的访问,解决部分地区高发的恶意请求问题,请参见设置区域封禁规则封禁特定区域请求

  • 如果您希望通过设置Bot管理的网页防爬场景化规则,防御通过浏览器访问网页或H5页面(包括App中使用的H5页面)等的爬虫风险,请参见设置网页防爬场景化规则防御网页爬虫

  • 如果您希望通过设置基础防护规则和防护规则组来帮助Web业务防御SQL注入、XSS跨站、代码执行、WebShell上传、命令注入等常见的Web应用攻击,请参见基础防护规则和规则组

  • 如果您希望通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量,请参见扫描防护规则