如何将网站接入WAF并配置防护策略进行日常运维 | 您所在的位置:网站首页 › 如何对服务器进行ddos攻击设置 › 如何将网站接入WAF并配置防护策略进行日常运维 |
域名接入配置。 根据您的业务场景,参考以下接入配置指导,将您的网站域名接入WAF: 单独使用WAF配置指导 同时部署WAF和DDoS高防配置指导 同时部署WAF和CDN配置指导 说明如果在添加域名配置时,提示您配置的域名已被其他用户使用,建议您检查是否已在其他阿里云账号的WAF实例中添加与该域名冲突的配置记录。如果确实存在,您需要删除造成冲突的域名配置记录后再进行配置。 源站保护配置: 源站保护:为避免恶意攻击者绕过WAF直接攻击或入侵源站服务器,建议您完成源站保护配置。更多信息,请参见源站保护。 标记WAF回源流量:将网站域名接入WAF进行防护后,您可以为网站域名设置流量标记(相关操作,请参见设置流量标记)。通过设置流量标记的方式,方便地标识经过WAF转发的流量,从而实现精准的源站保护(访问控制)、防护效果分析,有效防止流量绕过WAF请求源站。 说明如果您接入WAF的网站域名的业务源站使用的是Windows IIS Web服务,在配置HTTPS域名时,IIS默认会启用需要服务器名称指示(即SNI)。这种情况下,在将域名接入WAF后可能会出现访问空白页502的错误信息,您只需禁用该配置选项即可解决该问题。 防护策略配置。 参考以下推荐防护配置对已接入的网站业务进行防护: 规则防护引擎 一般情况下,建议选用拦截模式,并选用中等规则组防护策略。 业务接入WAF防护一段时间后(一般为2~3天),如果出现网站业务的正常请求被WAF误拦截的情况,您可以通过设置自定义规则组的方式提升Web防护效果。相关操作,请参见使用自定义规则组提升Web攻击防护效果。 CC安全防护 业务正常运行时,建议采用系统默认配置。 说明由于CC防护的防护-紧急模式可能产生一定量的误拦截,如果您的业务为App业务或Web API服务,不建议您开启防护-紧急模式。如果使用CC安全防护的正常模式仍发现误拦截现象,建议您使用精准访问控制功能放行特定类型请求。 ![]() 业务接入WAF防护一段时间后(一般为2-3天),可以通过分析业务日志数据(例如,访问URL、单个IP访问QPS情况等)评估单个IP的请求QPS峰值,提前通过自定义CC攻击防护配置限速策略,避免遭受攻击后的被动响应和临时策略配置。 当您的网站遭受大量CC攻击时,建议您开通日志服务功能。通过访问日志分析,发现恶意访问请求的特征,然后结合以下WAF的安全防护功能进行联合防御: 自定义CC攻击防护:针对URL设置灵活的限速策略,有效缓解CC攻击(HTTP Flood)带来的业务影响。 说明自定义CC攻击防护的限速策略可能产生误拦截,建议您通过深度日志分析找出攻击特征,配置精准访问控制策略实现精准拦截。 自定义ACL访问控制:当攻击源IP比较分散时,可以通过分析访问日志,使用精准访问控制提供的丰富字段和逻辑条件组合,灵活配置访问控制策略实现精准防护,有效降低误拦截。 支持IP、URL、Referer、User Agent、Params、Header等HTTP常见参数和字段的条件组合。 支持包含、不包含、等于、不等于、前缀为、前缀不为等逻辑条件,设置阻断或放行策略。 地域级IP黑名单:针对全球来源IP地理位置进行自定义地域访问控制。您可以根据业务的用户分布情况,屏蔽不需要的访问来源地区。 数据风控:通过风险决策引擎和人机识别算法,有效识别和拦截欺诈行为。 说明数据风控功能目前仅适用于网页/H5环境。 一般来说,功能性页面遭恶意被刷的风险较低,可不配置数据风控策略。而对于注册、登录、密码找回、营销活动类等静态页面,建议您根据防护需求配置数据风控,有效识别和拦截欺诈行为。 配置完成后,务必进行兼容性和业务可用性测试,避免数据风控策略配置对正常业务造成影响。 说明部分页面前端代码与数据风控的JavaScript脚本可能存在兼容性问题。如果遇到此类问题,建议您使用指定页面插入JS功能,并在测试通过后开启防护,避免影响正常业务。如果您仍然无法解决,可以联系阿里云技术支持获得帮助。 日志功能 根据您的业务和预算情况,选择启用日志服务功能。开通日志服务功能,可记录更多详细的原始日志信息,同时实现更灵活的访问日志自定义分析,发现恶意请求特征。更多信息,请参见概述。 监控告警 根据您的业务情况,为网站业务设置具体的QPS、4XX、5XX告警触发阈值。通过配置WAF告警监控功能,实时感知攻击事件。更多信息,请参见配置云监控通知。 本地测试。 完成上述WAF配置后,建议您进行配置准确性检查和验证测试。 说明您可以通过修改本地系统Hosts文件方式进行测试。相关操作,请参见本地验证。 表 1. 配置准确性检查项编号 检查项 是否必检 1 接入配置域名是否填写正确 是 2 域名是否备案 是 3 接入配置协议是否与实际协议一致 是 4 接入配置端口是否与实际提供的服务端口一致 是 5 WAF前是否有配置其他七层代理(例如,DDoS高防、CDN等) 是 6 源站填写的IP是否是真实服务器IP,而不是错误地填写了高防IP或其他服务IP 是 7 回源算法是否与预期一致 否,建议检查 8 证书信息是否正确上传 是 9 证书是否合法(例如,加密算法不合规、错误上传其他域名的证书等) 是 10 证书链是否完整 是 11 是否配置流量标记 否,建议检查 12 告警监控配置 否,建议检查 13 是否已了解按量计费实例的计费方式 说明仅适用于按量计费WAF实例。 是 表 2. 业务可用性验证项编号 检查项 是否必检 1 测试业务(包括Web、App客户端、Windows客户端、Linux客户端、其他环境的客户端)是否能够正常访问 是 2 测试业务登录会话保持功能是否正常 是 3 观察业务返回4XX和5XX响应码的次数,确保回源IP未被拦截 是 4 对于App业务,检查是否存在SNI问题 是 5 是否配置后端真实服务器获取真实源IP 否,建议检查 6 是否配置源站保护,防止攻击者绕过WAF直接入侵源站 否,建议检查 正式切换业务流量。 必要测试项均检测通过后,建议采用灰度的方式逐个域名修改DNS解析记录,将网站业务流量切换至Web应用防火墙,避免批量操作导致业务异常。修改DNS解析记录后,需要10分钟左右生效。如果切换流量过程中出现异常,请快速恢复DNS解析记录。 真实业务流量切换后,您需要再次根据上述业务可用性验证项进行测试,确保网站业务正常运行。 日常运维。 您可以参考以下最佳实践根据所需防护的具体场景,进一步配置具有针对性的防护策略: 规则防护引擎最佳实践 CC攻击防护最佳实践 如果您使用的是按量计费WAF实例,请仔细阅读WAF按量计费实例计费方式(具体内容,请参见计费说明),避免出现实际产生的费用超出预算的情况。 为避免WAF实例遭受大量DDoS攻击触发黑洞策略,导致网站业务无法访问的情况,建议您根据实际情况选择DDoS原生防护或DDoS高防产品,防御DDoS攻击。更多信息,请参见什么是DDoS原生防护、什么是DDoS高防(新BGP&国际)。 如果出现业务访问延时或丢包的问题,参考以下建议变更部署方式: 针对源站服务器在地区非中国内地、WAF实例为中国内地地区、主要访问用户来自中国内地的情况,如果用户访问网站时存在延时高、丢包等现象,可能是由于回源网络链路问题,推荐您将源站服务器部署在中国内地。 针对源站服务器在非中国内地、WAF实例为非中国内地、主要访问用户来自中国内地的情况,如果用户访问网站时存在延时高、丢包等现象,可能存在跨网络运营商导致的访问链路不稳定,推荐您使用中国内地的WAF实例。 如果需要删除已防护的域名配置记录,确认网站业务是否已正式接入WAF。 如果尚未正式切换业务流量,直接在Web应用防火墙管理控制台中删除域名配置记录即可。 如果已完成业务流量切换,删除域名配置前务必前往域名DNS解析服务控制台,修改域名解析记录将业务流量切换回源站服务器。 说明删除域名配置前,请务必确认域名的DNS解析已经切换至源站服务器。 删除域名配置后,WAF将无法再为您的域名提供专业级安全防护。 |
CopyRight 2018-2019 实验室设备网 版权所有 |