概述
本文介绍了Web应用防火墙(Web Application Firewall,简称WAF)服务防护配置的相关术语、配置流程、防护模块概览及典型配置案例。
防护配置流程
Web业务接入WAF防护后,您可以参照以下步骤,为Web业务配置 防护规则 。不同接入方式下的防护配置流程略有差异。
| 步骤 | 百度云防护 WAF接入 |
|---|---|
| 1. 添加 防护域名 | 在Web应用防火墙控制台添加防护主子域名进行WAF转发配置 |
| 2. 定义防护规则模板 | 您可以在防护规则中配置不同的防护规则,可以将规则模板应用到指定的防护域名。 可以定义多套规则模板,为不同防护域名应用不同的防护规则。 |
| 3. 管理防护规则 | 您可以在不同防护模块下的规则模板中管理具体的防护规则, 规则模板中发生的规则变动将直接应用到该规则模板的生效域名。不同规则模板支持的规则操作不完全相同。 |
防护规则概览
下表描述了WAF支持的所有防护模块,以及不同防护模块的默认配置。
| 防护规则 | 说明 | 默认规则模板 | 配置建议 |
|---|---|---|---|
| 基础Web防护引擎 | 基于百度云安全AI分析能力,快速精准有效的防御常见Web攻击,如SQL注入、非授权访问、XSS跨站脚本、CSRF跨站请求伪造,Webshell、木马等等 | 内置一套默认规则(包含百度多年WAF的基础防护规则集)。重要:新接入WAF防护的域名开启Web防护默认受到基础防护规则的防护,基础防护规则会自动拦截攻击请求。 | 建议开启基础防护配置。业务接入WAF防护一段时间后,如果您发现基础防护规则集存在误拦截,可以通过设置白名单规则,屏蔽产生误拦截的基础防护规则。 |
| CC防护 | 基于内置的通用CC防护算法,缓解产品规格内的高频请求(HTTP Flood)攻击。您也可以通过访问频率限制进行更加灵活的自定义CC防护 | 内置一套默认规则(包含百度多年WAF的基础防护规则集) | 如需启用自定义规则,在对应防护模版开启相关规则。 |
| IP白名单 | 白名单模块允许您根据业务场景,自定义放行具有指定特征的请求,使请求不经过全部或特定防护模块的检测 | 如需启用自定义规则,在对应防护模版开启相关规则。 | |
| IP黑名单 | IP黑名单模块允许您根据业务场景,自定义拦截来自特定IP地址IPV4或地址段的请求。 | 如需启用自定义规则,在对应防护模版开启相关规则。 | |
| 自定义访问控制策略 | 自定义规则模块允许您基于自定义的HTTP请求特征或特征组合,对符合条件的请求执行拦截、记录日志等处置。 | 如需启用自定义规则,在对应防护模版开启相关规则。 | |
| 区域黑白名单 | 一键封禁来自特定区域的客户端IP,支持海外和国内地区 | 如需启用自定义规则,在对应防护模版开启相关规则。 | |
| 访问频率限制 | 设置单一IP访问次数进行检测拦截封禁 | 如需启用自定义规则,在对应防护模版开启相关规则。 | |
| 网页防篡改 | 提供对页面进行强制缓存功能,从而防止黑客对网页进行篡改。帮助您锁定需要保护的网站页面,被锁定的页面在收到请求时,返回已设置的缓存页面。 | 如需启用自定义规则,在对应防护模版开启相关规则。 | |
| Bot管理-基础防护规则 | 支持基础情报策略和多条复合策略配置 | 仅企业版支持 | 如需启用自定义规则,在对应防护模版开启相关规则。 |
| 源站健康检查 | 设置源站响应超时、检查间隔、异常报警阈值、业务恢复判断阈值 | 如需启用自定义规则,在对应防护模版开启相关规则。 |
泛域名防护配置说明
当实例中存在泛域名解析配置且准备开启自定义防护设置时,需要注意以下事项:
1、当存在泛域名配置时,如果存在同级精准域名的解析配置,且未开启自定义防护,该精准域名也会匹配泛域名的自定义防护模板。即同级别的精准域名均保持自定义防护设置开启且配置相应防护模板。
2、如不需要任何防护,则在Web防护规则列表,如下图所示,将所有防护能力关闭即可。
