配置web基础防护规则防御常见web攻击-凯发k8国际娱乐官网入口
web基础防护开启后,默认防范sql注入、xss跨站脚本、远程溢出攻击、文件包含、bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的web攻击。您还可以根据实际使用需求,开启webshell检测、深度反逃逸检测和header全检测等web基础防护。
您也可以参考web基础防护功能最佳实践了解更多web基础防护规则的配置信息。
如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
约束条件
- web基础防护支持“拦截”和“仅记录”模式。
- 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
- 当web基础防护设置为“拦截”模式时,您可以。配置攻击惩罚后,如果访问者的ip、cookie或params恶意请求被拦截时,waf将根据攻击惩罚设置的拦截时长来封禁访问者。
- 目前华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、华南-深圳、西南-贵阳一、中国-香港和亚太-曼谷区域支持深度检测和header全检测功能。
操作步骤
- 。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
- 单击目标策略名称,进入目标策略的防护配置页面。
- 选择“web基础防护”配置框,用户可根据自己的需要开启或关闭web基础防护策略。
- :开启状态。
- :关闭状态。
- 选择“防护配置”页签,根据您的业务场景,开启合适的防护功能,检测项说明如表2所示。
图1 web基础防护
- 防护动作设置。
- 拦截:发现攻击行为后立即阻断并记录。
设置为“拦截”时,您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作,请参见。
- 仅记录:发现攻击行为后只记录不阻断攻击。
- 拦截:发现攻击行为后立即阻断并记录。
- 防护等级设置。
在页面上方,选择防护等级,web基础防护设置了三种防护等级:“宽松”、“中等”、“严格”,默认情况下,选择“中等”。
表1 防护等级说明 防护等级
说明
宽松
防护粒度较粗,只拦截攻击特征比较明显的请求。
当误报情况较多的场景下,建议选择“宽松”模式。
中等
默认为“中等”防护模式,满足大多数场景下的web防护需求。
严格
防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求,例如jolokia网络攻击、探测cgi漏洞、探测 druid sql注入攻击。
建议您等待业务运行一段时间后,根据防护效果配置全局白名单(原误报屏蔽)规则,再开启“严格”模式,使waf能有效防护更多攻击。
- 防护检测类型设置。
默认开启“常规检测”防护检测,用户可根据业务需要,参照表2开启其他需要防护的检测类型。
表2 检测项说明 检测项
说明
常规检测
防护sql注入、xss跨站脚本、远程溢出攻击、文件包含、bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中,sql注入攻击主要基于语义进行检测。
说明:开启“常规检测”后,waf将根据内置规则对常规检测项进行检测。
webshell检测
防护通过上传接口植入网页木马。
说明:开启“webshell检测”后,waf将对通过上传接口植入的网页木马进行检测。
深度检测
防护同形字符混淆、通配符变形的命令注入、utf7、data uri scheme等深度反逃逸。
说明:开启“深度检测”后,waf将对深度反逃逸进行检测防护。
header全检测
默认关闭。关闭状态下waf会检测常规存在注入点的header字段,包含user-agent、content-type、accept-language和cookie。
说明:开启“header全检测”后,waf将对请求里header中所有字段进行攻击检测。
shiro解密检测
默认关闭。开启后,waf会对cookie中的rememberme内容做aes,base64解密后再检测。web应用防火墙检测机制覆盖了几百种已知泄露密钥。
说明:如果您的网站使用的是shiro 1.2.4及之前的版本,或者升级到了shiro 1.2.5及以上版本但是未配置aes,强烈建议您开启“shiro解密检测”,以防攻击者利用已泄露的密钥构造攻击。
- 防护动作设置。
- 选择“防护规则”页签,查看web基础防护规则的详细信息,如图2所示,相关参数说明如表3所示。
图2 查看防护规则
单击,您可以根据“cve编号”、“危险等级”、“应用类型”或“防护类型”,搜索指定规则。
表3 防护规则说明 参数
说明
规则id
防护规则的id,由系统自动生成。
规则描述
防护规则对应的攻击详细描述。
cve编号
防护规则对应的cve(common vulnerabilities & exposures,通用漏洞披露)编号。对于非cve漏洞,显示为--。
危险等级
防护规则防护漏洞的危险等级,包括:
- 高危
- 中危
- 低危
应用类型
防护规则对应的应用类型,waf覆盖的应用类型见。
防护类型
防护规则的类型,waf覆盖的防护类型:sql注入、命令注入、跨站脚本、xxe注入、表达式注入攻击、csrf、ssrf、本地文件包含、远程文件包含、网站木马、恶意爬虫、会话固定漏洞攻击、反序列化漏洞、远程命令执行、信息泄露、拒绝服务、源码/数据泄露。
防护效果
假如已添加域名“www.example.com”,且已开启了web基础防护的“常规检测”,防护模式为“拦截”。您可以参照以下步骤验证waf防护效果:
配置示例-拦截sql注入攻击
假如防护域名“www.example.com”已接入waf,您可以参照以下操作步骤验证waf拦截sql注入攻击。
- 开启web基础防护的“常规检测”,并将防护模式设置为“拦截”。
图3 开启“常规检测”
- 开启web基础防护。
图4 web基础防护配置框
- 清理浏览器缓存,在浏览器中输入模拟sql注入攻击(例如,http://www.example.com?id=' or 1=1)。
waf将拦截该访问请求,拦截页面示例如图5所示。
图5 waf拦截攻击请求
- 返回web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨