web基础防护功能最佳实践-凯发k8国际娱乐官网入口

应用场景

web应用防火墙（web application firewall，waf），通过对http(s)请求进行检测，识别并阻断sql注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、cc攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护web服务安全稳定。

防护策略

1. 。
2. 单击管理控制台左上角的，选择区域或项目。
3. 单击页面左上方的，选择“安全与合规 > web应用防火墙 waf”。
4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。
5. 在目标域名所在行的“防护策略”栏中，单击“已开启n项防护”，进入“防护策略”页面。
6. 在“web基础防护”配置框中，查看web应用攻击防护的防护状态。
   图1 web基础防护配置框
   

   web基础防护功能默认为开启状态，并使用“仅记录”模式的防护规则策略。

   • 状态
     • ：表示waf的web基础防护的防护模块已开启。
     • ：表示该防护模块处理关闭状态。
   • 模式：分为拦截和仅记录两种模式。
     • “拦截”模式表示当遭受web攻击时，waf立即拦截攻击请求，并在后台记录攻击日志。
     • “仅记录”模式表示当遭受web攻击时，waf不会拦截攻击请求，仅在后台记录攻击日志。
7. 进入“web基础防护”界面。
   图2 web基础防护
   
   • “防护等级”：分为宽松、中等、严格三种模式，默认为“中等”防护模式。

     表1 防护等级说明

     防护等级	说明
     宽松	防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。
     中等	默认为“中等”防护模式，满足大多数场景下的web防护需求。
     严格	防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求。 当需要更严格地防护sql注入、跨站脚本、命令注入等攻击行为时，建议使用“严格”模式。

   • 灵活设置防护检测类型。

     waf默认开启“常规检测”防护检测，用户可根据业务需要，开启其他需要防护的检测类型。

使用建议

• 如果您对自己的业务流量特征还不完全清楚，建议先切换到“仅记录”模式进行观察。一般情况下，建议您观察一至两周，然后分析仅记录模式下的攻击日志。
  • 如果没有发现任何正常业务流量被拦截的记录，则可以切换到“拦截”模式启用拦截防护。
  • 如果发现攻击日志中存在正常业务流量，建议调整防护等级或者设置全局白名单（原误报屏蔽）来避免正常业务的误拦截。
• 业务操作方面应注意以下问题：
  • 正常业务的http请求中尽量不要直接传递原始的sql语句、javascript代码。
  • 正常业务的url尽量不要使用一些特殊的关键字（update、set等）作为路径，例如：“https://www.example.com/abc/update/mod.php?set=1”。
  • 如果业务中需要上传文件，不建议直接通过web方式上传超过50m的文件，建议使用对象存储服务或者其他方式上传。

防护效果

开启web基础防护功能后，在浏览器中输入模拟sql注入攻击的测试域名，waf将拦截了此条攻击。您可以在“安全总览”页面，查看攻击的拦截日志，如图4所示。

图3 sql攻击拦截

图4 安全统计

在“防护事件”页面，您可查看“昨天”、“今天”、“3天”、7天、“30天”或者自定义时间范围内的防护日志。同时，在攻击事件的“操作”列，单击“详情”，可以查看具体的攻击信息。