邊緣WAF防護(hù)(舊版)
DCDN結(jié)合邊緣Web應(yīng)用防火墻WAF(Web Application Firewall)能力,在DCDN節(jié)點(diǎn)上提供WAF防護(hù)功能,可以有效識(shí)別業(yè)務(wù)流量惡意特征,將正常、安全的流量回源到服務(wù)器。避免網(wǎng)站服務(wù)器被惡意入侵,保障業(yè)務(wù)的核心數(shù)據(jù)安全,解決因惡意攻擊導(dǎo)致的服務(wù)器性能異常問題。
您可通過以下內(nèi)容了解和使用舊版邊緣WAF:
當(dāng)前邊緣WAF和WebSocket協(xié)議不兼容,無法同時(shí)開啟。
WAF主要保護(hù)您的源站不被入侵,但無法防止您的DCDN域名被惡意用戶盜刷流量。每個(gè)訪問您域名的請(qǐng)求都將進(jìn)入WAF引擎檢測(cè),因此無論最終對(duì)請(qǐng)求是攔截還是觀察,請(qǐng)求都將被計(jì)費(fèi)。
如果您的域名有被盜刷流量的風(fēng)險(xiǎn),不建議使用全站加速服務(wù)。您也可以通過阿里云監(jiān)控服務(wù)的云產(chǎn)品監(jiān)控配置帶寬/QPS的閾值報(bào)警,有流量異常波動(dòng)時(shí)及時(shí)停用全站加速服務(wù)。
前提條件
您已在全站加速控制臺(tái)開通邊緣WAF功能(開通方式:選擇 ,單擊開通基礎(chǔ)版)。
說明如果您是政府、金融、傳媒、零售類客戶或月消費(fèi)金額大于2萬,可通過填寫信息開通邊緣WAF的高級(jí)版或企業(yè)版。
基礎(chǔ)版僅支持中國(guó)內(nèi)地,開啟加速節(jié)點(diǎn)的WAF防護(hù)前請(qǐng)您確認(rèn)域名的加速區(qū)域選擇為僅中國(guó)內(nèi)地。修改域名加速區(qū)域的操作方法,請(qǐng)參見切換加速區(qū)域。
功能說明
阿里云DCDN的WAF功能,是指DCDN融合了WAF能力,在DCDN節(jié)點(diǎn)上提供WAF防護(hù)功能。WAF防護(hù)具體功能,請(qǐng)參見什么是Web應(yīng)用防火墻。
不同版本的邊緣WAF支持的網(wǎng)站防護(hù)配置,請(qǐng)參見下表,單擊下表鏈接即可查看詳細(xì)功能介紹。
功能項(xiàng) | 基礎(chǔ)版 | 高級(jí)版 | 企業(yè)版 |
Web掃描防護(hù) | |||
主動(dòng)防御 | 不支持 | 不支持 | |
賬號(hào)安全 | 不支持 | ||
CC攻擊防護(hù) | 不支持 | ||
海量IP黑名單封禁 | |||
Rate Limit | 不支持 | 不支持 | |
爬蟲情報(bào)庫(kù) | 不支持 | 不支持 | |
驗(yàn)證碼集成 | 不支持 | 不支持 | |
爬蟲智能算法 | 不支持 | 不支持 | |
基礎(chǔ)Web攻擊防護(hù) | |||
0 DAY規(guī)則更新防護(hù) | |||
預(yù)警|阻斷模式 | |||
解碼防混淆編碼繞過 | 不支持 | ||
規(guī)則組自定義 | 不支持 | 不支持 | |
HTTP字段訪問控制 | 不支持 | ||
日志服務(wù) | 不支持 | 支持(1T) | 支持(3T) |
費(fèi)用說明
當(dāng)您開啟WAF功能后,邊緣WAF會(huì)對(duì)此域名的所有請(qǐng)求進(jìn)行檢測(cè),并按照賬戶維度,對(duì)域名開啟WAF功能的請(qǐng)求次數(shù)匯總,然后收費(fèi)。邊緣WAF計(jì)費(fèi)方式,請(qǐng)參考邊緣WAF計(jì)費(fèi)。
配置WAF防護(hù)(單個(gè)域名)
- 登錄DCDN控制臺(tái)。
- 在左側(cè)導(dǎo)航欄,單擊域名管理。
- 在域名管理頁面,單擊目標(biāo)域名對(duì)應(yīng)的配置。
單擊安全設(shè)置,選擇WAF防護(hù)頁簽。
打開WAF防護(hù)-中國(guó)大陸開關(guān)。
配置防護(hù)。
單擊修改配置。
根據(jù)業(yè)務(wù)需求和頁面提示,添加網(wǎng)站防護(hù)配置(例如Web安全、Bot管理等)。
配置WAF防護(hù)(多個(gè)域名)
- 登錄DCDN控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇 。
添加需要防護(hù)的域名。
單擊域名防護(hù)接入。
在域名防護(hù)接入對(duì)話框,選擇需要接入的域名。
說明一次只能選擇一個(gè)域名進(jìn)行接入,如果您需要接入多個(gè)域名,請(qǐng)多次接入。
單擊確定。
配置防護(hù)。
單擊目標(biāo)域名對(duì)應(yīng)的防護(hù)配置。
根據(jù)業(yè)務(wù)需求和頁面提示,添加網(wǎng)站防護(hù)配置(例如Web安全、Bot管理等)。
添加網(wǎng)站防護(hù)配置
Web安全
功能 | 參數(shù) | 說明 |
狀態(tài) | Web入侵防護(hù)開關(guān)。 | |
模式 | Web入侵防護(hù)模式如下:
| |
防護(hù)規(guī)則組 | Web入侵防護(hù)規(guī)則如下:
| |
解碼設(shè)置 | 設(shè)置需要正則防護(hù)引擎解碼分析的內(nèi)容格式。
說明 為保證防護(hù)效果,正則防護(hù)引擎默認(rèn)對(duì)請(qǐng)求中所有格式類型的內(nèi)容進(jìn)行解碼分析。如果您發(fā)現(xiàn)正則防護(hù)引擎經(jīng)常對(duì)業(yè)務(wù)中包含指定格式內(nèi)容的請(qǐng)求造成誤攔截,您可以取消解碼對(duì)應(yīng)格式,針對(duì)性地降低誤殺率。 | |
狀態(tài) | 開啟或關(guān)閉主動(dòng)防御功能。 | |
模式 |
|
Bot管理
功能 | 參數(shù) | 說明 |
狀態(tài) | 合法爬蟲開關(guān)。 說明 合法爬蟲提供合法搜索引擎白名單(例如Google、Bing、百度、搜狗、360、Yandex等),可應(yīng)用于全域名下放行。您可以根據(jù)實(shí)際需求,單擊前去配置,啟用或者關(guān)閉合法爬蟲。 | |
典型爬蟲行為識(shí)別 | 狀態(tài) | 典型爬蟲行為識(shí)別開關(guān)。 說明 典型爬蟲行為識(shí)別提供典型爬蟲行為識(shí)別的通用算法實(shí)例,可配置基本業(yè)務(wù)參數(shù)和風(fēng)險(xiǎn)閾值進(jìn)行機(jī)器學(xué)習(xí),輸出智能防護(hù)結(jié)果以對(duì)抗高級(jí)爬蟲。您可以根據(jù)實(shí)際需求,單擊前去配置,添加算法規(guī)則。 |
狀態(tài) | 爬蟲威脅情報(bào)開關(guān)。 說明 爬蟲威脅情報(bào)基于云平臺(tái)強(qiáng)大的計(jì)算能力,提供撥號(hào)池IP、IDC機(jī)房IP、惡意掃描工具IP以及云端實(shí)時(shí)模型生成的惡意爬蟲庫(kù)等多種維度的威脅情報(bào),可應(yīng)用于全域名或指定路徑下進(jìn)行阻斷。您可以根據(jù)實(shí)際需求,單擊前去配置,編輯情報(bào)。 | |
狀態(tài) | App防護(hù)開關(guān)。 說明 為原生App提供可信通信、防機(jī)器腳本濫刷等安全防護(hù)。需要集成阿里云的SDK。 |
訪問控制/限流
功能 | 參數(shù) | 說明 |
狀態(tài) | 防護(hù)開關(guān)。 說明 打開后基于Challenge Collapsar(CC) 攻擊的流量特征,幫助您防護(hù)針對(duì)頁面請(qǐng)求的CC攻擊,并提供不同模式的防護(hù)策略。 | |
模式 |
| |
高頻Web攻擊封禁 | 防護(hù)開關(guān)。 開啟后自動(dòng)封禁在短時(shí)間內(nèi)發(fā)起多次Web攻擊的客戶端IP。
| |
目錄遍歷防護(hù) | 防護(hù)開關(guān)。 開啟后自動(dòng)封禁在短時(shí)間內(nèi)發(fā)起多次目錄遍歷攻擊的客戶端IP。
| |
掃描工具封禁 | 防護(hù)開關(guān)。打開后自動(dòng)阻斷常見掃描工具IP的訪問請(qǐng)求。 | |
協(xié)同防御 | 防護(hù)開關(guān)。打開后自動(dòng)阻斷阿里云全球惡意掃描攻擊IP庫(kù)中IP的訪問請(qǐng)求。 | |
狀態(tài) | IP黑名單控制開關(guān)。 IP黑名單支持一鍵封禁特定的IP地址和地址段訪問,以及指定區(qū)域的IP地址的訪問限制能力。 說明 您可以根據(jù)實(shí)際需求,單擊前去配置,添加IP地址黑名單和IP地域黑名單。 | |
狀態(tài) | 自定義防護(hù)策略開關(guān)。 自定義防護(hù)策略支持自定義精準(zhǔn)條件的訪問控制規(guī)則,以及基于精準(zhǔn)條件下的指定統(tǒng)計(jì)對(duì)象的訪問限制自定義規(guī)則。 說明 您可以根據(jù)實(shí)際需求,單擊前去配置,添加自定義防護(hù)策略。 |
查看WAF日志和報(bào)表
當(dāng)您的網(wǎng)站接入WAF防護(hù)后,您可通過報(bào)表查看域名遭受的攻擊情況和產(chǎn)品的防護(hù)效果。詳細(xì)日志和報(bào)表請(qǐng)參見查看WAF日志和報(bào)表。