Web业务接入Web应用防火墙(Web Application Firewall,简称WAF)防护后,您可以通过总览页面,查看资产接入概况、防护配置情况和近30天的防护数据等信息,了解近期Web业务的安全状态。
前提条件
已将Web业务添加为WAF 3.0的防护对象和防护对象组。
查看WAF总览
根据WAF实例所属地域的不同,在华东1(杭州)和新加坡分别设置了管控平面。其中,中国内地的WAF实例将使用华东1(杭州)的管控平面进行管控,非中国内地的WAF实例将使用新加坡的管控平面进行管控。
在Web应用防火墙3.0控制台的总览页面,共分为规则更新与产品动态、资产接入概况与防护配置情况、防护总览、防护数据分析、版本信息、API风险分析、机器流量分析和值得关注的安全事件八大板块展示信息。
其中API风险分析仅在包年包月版本中展示。
规则更新与产品动态
规则更新:查看WAF近期更新的规则。单击目标规则,在应急漏洞防护详情面板中可查看应急开始时间、规则发布时间、防护类型和规则描述等信息。
产品动态:查看WAF最近发布的新功能/规格或新地域/新可用区域。单击目标动态,可查看动态详情。
资产接入概况与防护配置情况
资产接入概况:汇总当前的接入资产数据,帮助您了解当前保护的总体资产情况。接入云产品主要统计了ALB、CLB和ECS的接入数量。
防护配置情况:汇总Web核心防护、API安全、BOT管理和RASP的配置情况,单击防护配置可跳转至防护配置的详情页面,将鼠标悬停在目标防护配置上可查看该防护配置是否开通和是否配置防护策略。
防护总览
功能项 | 说明 |
功能项 | 说明 |
防护对象(图①) | 默认已选择所有对象,表示查询已接入WAF防护的所有对象的数据,也可以查询单个或多个防护对象的数据。 |
集群防护(图②) | 默认已选择所有集群,表示查询已接入WAF防护的所有集群的数据,也可以只查询某个集群的数据。 主要用于混合云用户查看各集群的流量和防护状态。 |
时间范围(图③) | 默认展示今天的数据,可以查询最近15分钟、最近30分钟、最近1小时、最近24小时、今天、昨天、7天和30天内的数据。 |
自定义日期搜索范围(图④) | 可以根据实际需要选择特定的时间段,以便更精准地查看安全报表数据。 |
防护总览(图⑤) | 查看指定时间范围内已配置防护规则的总请求数、总拦截数和总观察命中量。折线图则展示了在该时间范围内,防护对象收到的防护数据变化趋势。将鼠标悬停在某个时刻,可展示该时刻的详细统计数据。
|
防护数据分析
数据类型 | 说明 | 支持的操作 |
数据类型 | 说明 | 支持的操作 |
攻击情况Top10 | 通过列表,展示在指定时间范围内,对防护对象发动攻击的攻击源的统计数据,具体包括:
| 单击攻击源IP、攻击UA,查看对应数据。将鼠标悬停于所选目标上,单击查看报表,可以跳转至安全报表页面进行详细的业务数据分析。 |
规则命中情况Top10 | 通过列表,展示在指定时间范围内,被命中的所有防护规则的统计数据,具体包括:
| 单击防护对象、防护模块、规则ID,查看对应数据。将鼠标悬停于所选目标上,单击查看报表,可以调整至安全报表页面进行详细的业务数据分析。 |
业务QPS | 通过折线图,展示在指定时间范围内,防护对象收到的请求QPS的变化趋势。 | 将鼠标悬停在折线图上的某一点,可以查看该时刻的具体数据。 |
响应码TOP5 | 通过折线图,展示在指定时间范围内,WAF返回客户端、源站返回给WAF前5的响应码。 | |
Top10 访问量统计 | 可查看防护对象、请求源IP、UA前10的访问量。 | 无 |
版本信息
在版本信息区域查看WAF累计保护您的资产时长和到期时间,当包年包月实例进入沙箱状态时,会收到提示信息。可以执行如下操作:
在实例基本信息区域查看WAF累计保护您的资产时长,执行如下操作:
购买资源包:SeCU资源包可用于抵扣WAF 3.0按量付费模式下产生的请求处理费和功能费,降低费用成本。
关闭WAF:按量付费实例可直接关闭WAF。
调整流量保护阈值/调整阈值:可根据业务变化调整流量计费保护阈值,避免实例进入沙箱状态。
查看资源包抵扣详情:可在费用与成本中查看资源包抵扣详情。
查看流量保护详情:查看QPS使用详情。
API风险分析
可查看API资产总数、高危事件数、中危事件数和低危事件数,单击立即防护可配置API防护。
机器流量分析
可查看存在机器流量防护对象数和机器请求数,单击立即防护,可开通Bot管理,进行安全防护。
值得关注的安全事件
可查看防护对象上发生的攻击事件的记录和详情,以及WAF针对攻击的拦截情况,帮助您直观了解业务面临的威胁态势及获取应对方法。
单击某个事件名称,可以查看事件详情,详情页面展示了该攻击的详细威胁情报和针对威胁的安全建议,并支持通过Top5攻击分布,对该攻击事件进行简单分析:
源IP:发起攻击次数最多的前5个客户端IP。
攻击目标:被攻击次数最多的前5个URL。
攻击类型:攻击者使用次数最多的前5类攻击方式(例如SQL注入、跨站脚本等)。
攻击日期:攻击者发起攻击次数最多的前5个日期。
攻击工具:攻击者使用次数最多的前5类攻击工具(例如Curl、Postmanruntime等)。
在事件详情面板,单击事件标题后的查看日志,将会跳转到日志服务页面。可以通过查询相关日志,对事件做进一步分析。
- 本页导读 (1)
- 前提条件
- 查看WAF总览
- 规则更新与产品动态
- 资产接入概况与防护配置情况
- 防护总览
- 防护数据分析
- 版本信息
- API风险分析
- 机器流量分析
- 值得关注的安全事件