AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 Web应用防火墙 Web应用防火墙3.0 操作指南 资产中心

资产中心

更新时间:
产品详情
我的收藏

Web应用防火墙(Web Application Firewall,简称WAF)的资产中心功能帮助您梳理阿里云云上、云下的域名资产,并根据资产在云上的攻击态势,进行风险等级评估,帮助您掌握业务的整体防护状态。您可以为风险等级较高的域名资产开启防护,提升整体安全防护水平。

背景信息

网络应用资产是安全管理体系中最基础的载体,同时也是业务系统中最基本的组成单元。随着企业业务的高速发展,各类业务系统平台逐年增多,同时也存在员工私建站点、测试环境未及时回收等情况,导致可能产生大量“僵尸”资产。信息安全领域存在典型的木桶效应,即安全防护的水位由企业最薄弱的一环决定。由于无人管理,“僵尸”资产往往使用了低版本的开源系统、组件、Web框架等,导致一些薄弱环节暴露在攻击者的视野下,攻击者可以利用这些站点作为“跳板”,绕过企业的网络边界防护,进而使得整个企业内网沦陷。

WAF资产识别功能通过获取阿里云域名服务、云解析DNS、SSL证书等服务的配置信息,结合大数据关联分析能力,帮助您主动发现云上与云下的域名资产,为您提供全局资产视角,避免在安全防护中出现资产遗漏。同时,资产识别基于阿里云默认Web攻击检测能力,结合威胁情报,为您计算出云上域名的安全分值,帮助您发现被攻击者关注的域名,并支持为域名开启防护,避免域名遭受入侵。

说明

资产识别支持检测的域名资源包含阿里云域名和非阿里云域名,且非阿里云域名包括解析至非阿里云服务器的域名和线下IDC机房使用的域名。

步骤一:访问资产中心并授权WAF访问云资源

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,单击资产中心

  3. 资产中心页面,单击立即开启

    说明

    使用WAF期间,您只需执行一次授权操作。如果您已经授权过,可跳过该步骤。

    • 首次开通资产中心后,阿里云将自动为您创建WAF服务关联角色(AliyunServiceRoleForWAF)。您可以登录RAM控制台,查看阿里云为WAF自动创建的服务关联角色。具体操作,请参见查看RAM角色

      只有创建服务关联角色AliyunServiceRoleForWAF后,您的WAF实例才能访问云服务器ECS、负载均衡SLB、云解析DNS、CDN、数字证书管理服务、日志服务SLS等关联云服务的资源。

    • 获取WAF访问云资源的授权后,WAF将自动检测与您的阿里云账号相关的域名资产,并在资产中心页面展示检测到的域名资产信息。

      说明

      资产中心支持识别的域名资源包含阿里云域名和非阿里云域名,非阿里云域名包括解析至非阿里云服务器的域名和线下IDC机房使用的域名。

      为了使资产中心的识别结果更准确,WAF默认开启主动指纹扫描。针对已接入WAF的资产,采用被动流量学习和主动探测的方式识别资产指纹。主动指纹扫描每两周进行一次,建议您保持开关的开启状态。

步骤二:添加资产

如果您关注的主域名资产未在资产列表中,您可以通过添加资产,手动添加主域名。

  1. 资产中心概览页签,单击添加资产

  2. 添加资产对话框,填写网站域名,并完成域名的归属权验证。

    验证域名归属权

    为确认您对域名的所有权,需完成归属权验证。支持以下两种验证方式,任选其一即可:

    • DNS解析验证:在您的域名解析服务商处,手动添加WAF提供的TXT类型解析记录。推荐使用此方式。

    • 文件验证:将WAF提供的验证文件上传至域名源站服务器的指定根目录,需拥有源站服务器操作权限。

    DNS解析验证

    1. 在验证提示区域,单击方法1:DNS解析验证页签。

    2. 根据WAF控制台提供的记录类型主机记录记录值,在您的域名解析服务商添加TXT记录。

      若您使用阿里云云解析DNS,请参考以下步骤操作;若使用其他域名解析服务商,请在其系统中进行类似配置。

      1. 登录云解析DNS控制台

      2. 公网权威解析页面,找到目标主域名,并单击右侧的解析设置

      3. 单击添加记录,填写记录类型主机记录记录值后,单击确定。其余未提及参数保持默认即可。

        配置项

        说明

        填写样例

        记录类型

        选择TXT

        TXT

        主机记录

        主机记录指域名的前缀。

        verification

        记录值

        输入WAF生成的记录值。

        verify_8fca29dec22746a7841daf2b3af6****

        添加完成后,您可以在记录列表中查看已添加的记录。该记录默认生效(状态启用)。

    3. 等待TXT解析生效。域名首次配置TXT解析记录后将实时生效,但修改TXT解析记录通常会在10分钟后生效(生效时间取决于域名DNS解析配置的TTL时长,默认为10分钟)。

    4. 返回WAF控制台,单击“点击验证”。

      • 显示验证成功:域名归属权验证完成。

      • 显示验证失败:请按以下步骤排查:

        1. 检查TXT记录:确保添加的主机记录和记录值与WAF控制台提供的信息完全一致。如有差异,请删除错误记录并重新添加,然后重新验证。

        2. 等待DNS生效:DNS记录配置后可能不会立即生效,生效时间取决于您域名服务器中设置的TTL缓存时间。建议等待10分钟后重新验证。

        3. 更换验证方式:如多次尝试仍无法通过验证,建议使用"方法2:文件验证"。

    文件验证

    1. 在验证提示区域,单击方法2:文件验证页签。

    2. 单击下载验证文件链接(图示①),下载验证文件。image..png

      重要

      • 验证文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载。

      • 请勿对验证文件执行任何操作,例如打开、编辑、重命名等。

      • WAF将根据选择的协议类型访问您的源站服务器,请确保源站服务器放行了对应的安全组或防火墙规则:

        • 选择HTTP时,需要放行入方向TCP协议80端口,访问来源为0.0.0.0/0。

        • 选择HTTPS时,需要放行入方向TCP协议443端口,访问来源为0.0.0.0/0。

    3. 手动将验证文件上传到控制台提示的域名源站服务器(例如您的ECS、OSS、CVM、COS、EC2等)根目录(图示②)。

      说明

      如果您添加的域名为通配符域名,例如*.aliyun.com,那么您需要将验证文档上传到aliyun.com的根目录。

      上传完成后,你可以参考如下方法,查看验证文档是否上传成功。

      1. Windows系统

        在指定根目录,查看验证文件。image..png

      2. Linux系统

        执行如下命令,查看验证文档。image..png

    4. 返回WAF控制台,单击“点击验证”。

      • 显示验证成功:域名归属权验证完成。

      • 显示验证失败:请根据报错信息进行排查:

        问题描述

        解决方案

        无法访问域名

        1. 检查域名 DNS 解析,确保存在指向源站服务器的解析记录。以阿里云云解析DNS为例,操作请参见添加解析记录

        2. 检查源站服务器安全组或防火墙规则,确保放行公网访问请求。以ECS安全组为例,操作请参见添加安全组规则

        验证文件不存在

        重新在域名源站服务器中上传验证文件。

        文件内容不正确

        1. 前往您域名的源站服务器,删除不正确的验证文件。

        2. 重新上传验证文件。

  3. 完成上述配置后,单击添加

说明

手动添加资产后,资产中心列表会在T+1显示添加的资产。

步骤三:查看资产

资产中心页面,查看域名资产的详细信息。

资产中心

数据类型

说明

相关操作

域名资产数据(图示①区域)

展示您的阿里云账号相关的域名资产数据,包括主域名数、子域名数及较昨日变化数、未防护子域名数(包括未防护高风险域名数、中风险域名数和低风险域名数)。

域名资产详情(图示②区域)

WAF将检测发现的域名资产根据主域名进行聚合展示。每个主域名包含以下信息:

  • 主域名:网站绑定的主域名。

  • 解析IP:网站服务器的IP地址、CNAME域名地址。

  • 已防护子域名数:已经接入WAF防护的子域名的数量。

  • 未防护子域名数:未接入WAF防护的子域名的数量,包括对应的高风险、中风险、低风险的子域名数量。

  • 在域名资产列表上方的搜索框,使用域名关键字查询指定主域名。支持模糊查询。

  • 在域名资产列表,单击某个主域名左侧的展开图标,通过设置配置状态、风险级别,筛选要子域名。子域名包含以下信息:

    • 子域名:网站绑定的子域名。

    • 解析IP:网站服务器的IP地址、CNAME域名地址。

    • 指纹:通过被动流量分析+主动指纹扫描,识别网站服务器的指纹信息。

      主动指纹探测开关在您授权资产中心后开启,您可以通过域名资产列表右上角的开关来修改主动指纹探测的开启状态。

    • 云上威胁等级:基于云上近30天攻击趋势,结合威胁情报数据,评估该域名的云上风险等级。对于较高风险的域名,建议您尽快将域名接入WAF防护,以免域名资产遭受入侵。

    • 配置状态:该网站域名是否已接入WAF进行防护。具体包含以下状态:

      • 未接入:网站域名未接入WAF进行防护。您可以单击操作列的接入,将该域名接入WAF。具体操作,请参见通过CNAME接入为网站开启WAF防护

      • 已接入:网站域名已接入WAF进行防护,WAF检测到网站流量且为域名提供全面防护。

  • 单击子域名操作列的威胁详情,查看子域名威胁信息。

    说明

    仅包年包月企业版或旗舰版的WAF实例支持该功能。

步骤四:导出资产

  1. 资产中心概览页签,选中需要导出的主域名,并单击右上角的下载图标,开启域名资产下载功能。

  2. 资产中心导出记录页签,单击下载,下载域名资产文档。

    您导出的文件生成后会暂存在阿里云上,三天后会自动删除,请在有效期内下载查看。

    说明

    主账号支持下载资产列表,子账号暂不支持该功能。

上一篇:总览下一篇:接入管理