本文介绍了使用阿里云Web应用防火墙(WAF)3.0中可能涉及到您当地法律规定的数据安全合规问题。
WAF CNAME接入安全合规说明
如果您的源站部署在中国内地,请开通中国内地WAF实例并在CNAME接入WAF之前完成域名备案。
如果您的网站或App托管在阿里云中国内地节点服务器上,且网站或App的主办人和域名从未办理过ICP备案,在网站或App开通服务前,您需通过阿里云ICP代备案系统完成ICP备案。
如果主体和域名均已通过其他服务商成功备案,而您现需要将服务商变更为阿里云或将阿里云添加为该网站的新增服务商,需要在阿里云完成接入备案。
如果您想要了解通过CNAME方式添加域名的详细步骤,请参见添加域名。
如果您的源站部署在非中国内地,请开通非中国内地WAF实例,当前Web应用防火墙服务地区目前已开服中国香港、新加坡、迪拜、日本(东京)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、美国(硅谷)、德国(法兰克福),如果您部署的源站不在Web应用防火墙服务地区覆盖范围内,会解析到新加坡Web应用防火墙集群。
Web应用防火墙安全报表说明:WAF实例根据所属地域的不同,在华东1(杭州)和新加坡分别设置了管控平面。其中,中国内地的WAF实例将使用华东1(杭州)的管控平面实现管控,非中国内地的WAF实例将使用新加坡的管控平面实现管控。通过安全报表页面,您可以集中查看已接入防护全量资源的防护数据统计及日志信息。我们将基于您购买的不同地域WAF实例所对应的管控平面,向您进行图表和信息展示。
数据跨境注意事项:
您在使用WAF提供的CNAME接入功能时,将使您在云上的业务数据传输至您所选择的区域或产品部署区域,可能会涉及数据跨境。
您同意并确认,您完全拥有该份业务数据的所有处置权限,对数据传输的行为全权负责。
您应确保您的数据传输符合所有适用法律,包括提供充分的数据安全保护技术和策略,履行获得个人充分明示同意、完成数据出境安全评估和申报等法定义务,且您承诺您的业务数据不含任何所适用法律限制、禁止传输或披露的内容。
如您未遵守前述声明与保证,您将承担对应的法律后果,导致阿里云和或其他关联公司遭受任何损失的,您应承担赔偿责任。
如果您想避免数据跨境问题,您可以使用云产品接入或者混合云接入方式接入WAF。
WAF非标端口开放说明
使用CNAME方式接入WAF的域名,会被部分扫描器的扫描结果判定为非 80、443 端口开启了监听,从而被判定为开放了高危端口。阿里云WAF只针对控制台上已配置的端口,在 TCP三次握手成功后进行数据转发,对于没有配置的端口,TCP三次握手后,WAF会立刻发送 RST 包关闭连接,因此不会转发数据。扫描器判定的高危端口,实际并没有被利用的安全⻛险。
对于部分高危端口WAF默认不开放,与高危端口的TCP三次握手不会成功。高危端口列表如下:9,20,21,22,23,25,42,53,67,68,69,135,137,138,139,143,161,389,445,593,1434,1521,3127,3306,3389,4444,5554,5800,5900,6379,9996,11211,27017,27018,50030,50070,61613,61616,61617。
WAF支持的加密套件说明
通过CNAME接入方式以及ECS、四层CLB(TCP)云产品接入方式,接入HTTPS业务到WAF防护时,您可以根据源站支持的加密套件类型,自定义允许WAF使用的加密套件,使WAF只监听支持特定加密套件的客户端的请求。关于WAF支持的加密套件详细类型,请参见WAF支持的加密套件。
使用七层CLB(HTTP/HTTPS)云产品接入方式时,WAF支持的加密套件配置会自动同步源站CLB的配置。
WAF 日志存储说明
WAF日志服务帮助您采集并存储WAF防护对象(云产品实例、域名)的Web访问及攻击防护日志,并基于阿里云日志服务,输出查询分析、统计图表、报警服务、下游计算对接与投递等能力,帮助您专注于分析,远离琐碎的查询和整理工作。
Web应用防火墙默认关闭日志服务功能。如果您需要存储防护对象的日志数据,并对日志数据进行查询与分析,您需要先开启WAF日志服务。在开启日志服务时您可以选择日志服务存储的地域。
关于如何操作与配置WAF日志服务,及WAF日志存储计费方式,请参见日志管理。关于日志可能涉及的数据跨境查询合规问题,请参见跨LogStore查询日志。
开启后日志将存储在您选择的地域中。WAF日志服务一旦开启不可更改地域配置,只有通过释放WAF实例才可以重新更换日志存储地域。因此,在开启服务前请谨慎选择您的日志存储地域。
WAF Cookie植入说明
使用WAF接入防护的业务会在以下三种情况下被植入Cookie。
场景1:使用CC防护、扫描防护等功能时,Cookie中不包含acw_tc的请求,WAF默认会在响应中插入acw_tcCookie。
WAF产品将会默认在客户端(如浏览器)植入Cookie用于区分统计不同客户端,用户在访问网站时会在HTTP报文中携带上植入的Cookie信息,WAF将结合您配置的CC防护规则、统计对象为session的扫描防护规则、统计对象为session的自定义频率设置规则和统计结果判断业务流量中是否存在CC攻击行为。
如果您想关闭该场景下的Cookie植入,您可以登录Web应用防火墙控制台,并在顶部菜单栏,选择WAF实例的资源组和地域,通过配置防护配置 > 防护对象 > 设置中如图所示的cookie设置,关闭指定云产品实例或域名的Cookie植入。
关于Cookie设置更多的详细说明,请参见配置防护对象和防护对象组。
场景2:云产品实例或域名配置了Bot管理的场景化模块,并开启了自动集成Web SDK。
当用户配置Bot场景化模板,并开启了自动集成Web SDK,将会在HTTP报文的Header中植入ssxmod_itna、ssxmod_itna2、ssxmod_itna3Cookie用于获取客户端浏览器的指纹信息。收集的指纹信息包括HTTP报文的host字段、浏览器高度和宽度等。
如果您想关闭该场景下的Cookie植入,您需要关闭对应的Bot管理场景化模板。具体操作请参见开通和配置Bot管理。
场景3: 云产品实例或域名配置了自定义规则或Bot管理,规则动作开启JS校验或者滑块。
当访问流量命中规则后,Web应用防火墙将对客户端发起JS校验或滑块验证,当客户端验证通过后将会在HTTP报文的Header中分别植入Cookieacw_sc__v2和acw_sc__v3,用于标识客户端已经通过验证。
如果您想关闭该场景下的Cookie植入,可以在防护设置> 防护规则或防护配置 > 场景防护 > Bot管理 > 场景化防护中关闭对应的防护规则或策略。关于JS校验和滑块更多信息,请参见自定义规则或开通和配置Bot管理。
WAF Bot管理APP防护功能采集说明
Web应用防火墙提供基于Native App(Android/iOS)的SDK用以提升该场景下的防护效果。SDK集成后将会采集客户端的风险特征并生成安全签名附带在请求中,WAF会根据签名特征进行请求风险的识别和拦截。
如果您想要了解我们如何收集和使用您以及您最终用户的个人信息等,请参见Web应用防火墙APP防护SDK隐私权政策。