Article / 文章中心

文章分類

規則防護引擎功能進行Web應用攻擊防護的最佳實踐

發布時間:2021-04-29 點擊數:170


本文介紹了使用Web應用防火墻的規則防護引擎功能進行Web應用攻擊防護的最佳實踐,包含應用場景、防護策略、防護效果、規則更新四個方面。


應用場景

Web應用防火墻(WAF)主要幫助網站防御不同類型的Web應用攻擊,例如SQL注入、XSS跨站攻擊、遠程命令執行、Webshell上傳等攻擊。關于Web攻擊的更多信息,請參見常見Web漏洞釋義

說明 主機層服務的安全問題(例如,Redis、MySQL未授權訪問等)導致的服務器入侵不在WAF的防護范圍之內。



設置防護策略

您在完成網站接入后,Web應用防火墻的規則防護引擎功能默認開啟,并使用正常模式的防護策略,為網站防御常見的Web攻擊。您可以在網站防護頁面定位到規則防護引擎區域,設置防護策略和查看規則防護引擎的防護狀態。Web應用攻擊防護
防護狀態解讀
  • 狀態:是否開啟規則防護引擎模塊,默認開啟。
  • 模式:WAF檢測發現網站的訪問請求中包含Web攻擊時要執行的動作,包含攔截告警兩種模式。
    • 攔截模式:WAF自動攔截攻擊請求,并在后臺記錄攻擊日志。
    • 告警模式:WAF不會攔截攻擊請求,僅在后臺記錄攻擊日志。
  • 防護規則組:規則防護引擎使用的防護規則合集,默認提供中等規則組嚴格規則組寬松規則組,分別表示正常、嚴格、寬松的檢測強度。
    • 中等規則組:防護粒度較寬松且防護規則策略精準,可以攔截常見的具有繞過特征的攻擊請求。
    • 嚴格規則組:防護粒度最精細,可以攔截具有復雜的繞過特征的攻擊請求,相比中等規則組帶來的誤攔截可能更多。
    • 寬松規則組:防護粒度較粗,只攔截攻擊特征比較明顯的請求。
    說明 防護規則組設置僅在開啟規則防護引擎后生效。

    如果您開通了企業版或旗艦版的中國內地WAF實例,或者旗艦版的海外地區WAF實例,則您可以自定義防護規則組。自定義防護規則組允許您自由組合WAF提供的所有防護規則,形成有針對性的防護策略,并將其應用到網站防護。

使用建議
  • 如果您對自己的業務流量特征還不完全清楚,建議您先切換到告警模式進行觀察。一般情況下,建議您觀察一至兩周,然后分析告警模式下的攻擊日志:
    • 如果沒有發現任何正常業務流量被攔截的記錄,則可以切換到攔截模式。
    • 如果發現攻擊日志中有正常的業務流量,您可以聯系阿里云安全專家,溝通具體的解決方案。
  • PHPMyAdmin、開發技術類論壇接入WAF防護可能會存在誤攔截的問題,建議您聯系阿里云安全專家,溝通具體的解決方案。
  • 業務操作方面應注意以下問題:
    • 正常業務的HTTP請求中盡量不要直接傳遞原始的SQL語句、Java Script代碼。
    • 正常業務的URL盡量不要使用一些特殊的關鍵字(UPDATE、SET等)作為路徑,例如www.example.com/abc/update/mod.php?set=1。
    • 如果業務中需要上傳文件,不建議直接通過Web方式上傳超過50 MB的文件,建議使用OSS或者其他方式上傳。



查看防護效果

開啟規則防護引擎后,您可以在安全報表頁面查詢Web安全 > Web入侵防護報表,了解規則防護引擎的防護記錄。

Web入侵防護報表支持查詢最近30天內的攻擊記錄。報表下方提供了詳細的攻擊記錄列表,您可以篩選出正則防護記錄,然后單擊某條記錄后的查看詳情,查詢攻擊詳情。例如,下圖中的攻擊詳情表示一條已被WAF攔截的SQL注入請求。查看攻擊詳情



查看規則更新通知

對于互聯網披露的已知漏洞和未披露的0day漏洞,WAF將及時完成防護規則的更新并發布規則更新通知。您可以在產品信息頁面,查詢WAF最新發布的規則更新通知規則更新


我公司為阿里云代理商通過此頁面下單購買,新老阿里云會員,均可享受我公司代理商價格!




杏仁直播苹果版-杏仁直播app下载苹果-杏仁直播app色版