本文匯總了您在購買和使用Web應用防火墻(Web Application Firewall,簡稱WAF)時的常見問題。
概覽
售前咨詢問題
網站接入配置問題
網站防護配置問題
網站防護分析問題
非阿里云服務器能否使用WAF?
可以,WAF支持云外機房用戶接入。WAF可以保護任何公網路由可達的服務器,不論是阿里云服務、其他的云服務、IDC機房等環境,都可以使用WAF。
要接入中國內地WAF實例的域名必須按照工信部要求完成ICP備案,否則不支持接入。
WAF支持云虛擬主機嗎?
支持,WAF的所有版本都支持獨享虛擬主機,直接開通WAF進行配置即可。
對于共享虛擬主機,由于使用的是共享IP,源站由多個用戶共同使用,不建議單獨配置WAF。
WAF是否支持防護HTTPS業務?
支持,WAF的所有版本都支持HTTPS業務,并且支持泛域名接入。
只需根據提示將SSL證書及私鑰上傳,WAF即可防護HTTPS業務流量。配置HTTPS業務接入后,WAF會先解密訪問請求,檢查請求包,再重新加密,并轉發正常的請求到源站。
WAF是否支持自定義端口?
WAF企業版及旗艦版支持自定義非標準端口。企業版最多支持10個非標準端口,旗艦版最多支持50個非標準端口。
不是任意端口都支持自定義。非標準端口必須在支持范圍內。更多信息,請參見WAF支持的端口。
WAF是否對接入端口有限制?
根據接入方式不同,具體說明如下:
除了上述WAF對接入端口的限制,根據當前網絡訪問驗證結果,互聯網運營商側或因部分高危端口存在安全隱患,會攔截針對高危端口的業務流量。相關的高危TCP端口包括:42、135、137、138、139、445、593、1025、1434、1068、3127、3128、3129、3130、4444、5554、5800、5900、9996。如果您的Web業務使用了上述高危端口,則業務接入WAF后,可能出現業務在部分地域無法被訪問的問題。因此,建議您將業務接入WAF前,確保Web業務使用其他非高危端口。
WAF的QPS限制規格是針對整個WAF實例匯總的QPS,還是配置的單個域名的QPS上限?
WAF的QPS限制規格針對整個WAF實例。
例如,您在WAF實例上配置防護了3個域名,則這3個域名累加的QPS不能超過規定上限。如果超過已購買的WAF實例的QPS限制,將觸發限速,可能導致隨機丟包。
WAF是否支持HTTPS雙向認證?
CNAME接入和透明接入暫不支持,使用WAF3.0服務化接入方案可以支持HTTPS雙向認證,目前支持服務化接入的云產品包括ALB、MSE、FC、SAE,可以在WAF控制臺云產品接入一欄中配置接入。
WAF是否支持Websocket、HTTP 2.0或SPDY協議?
WAF支持WebSocket協議,且包年包月企業版及以上和按量付費版本規格支持HTTP 2.0。目前所有版本暫不支持SPDY協議。
為避免攻擊者通過HTTP 2.0明文走私來繞過WAF,您可以通過創建自定義規則,攔截Header名稱為Upgrade,且值為h2c的請求。具體操作,請參見設置自定義規則防御特定請求(WAF 3.0)、設置自定義防護策略(WAF 2.0)。
HTTP 2.0業務接入WAF防護是否會對源站有影響?
有影響。HTTP 2.0業務接入WAF防護表示WAF可以處理客戶端的HTTP 2.0請求,而WAF目前僅支持以HTTP 1.0/1.1協議轉發回源請求,即WAF與源站間暫不支持HTTP 2.0。因此,如果您將HTTP 2.0業務接入WAF防護,則源站的HTTP 2.0特性將會受到影響,例如,源站HTTP 2.0的多路復用特性可能失效,造成源站業務帶寬上升。
WAF支持哪些TLS協議?
中國內地WAF實例默認支持TLS 1.0、TLS 1.1、TLS 1.2,海外地區WAF實例默認支持TLS 1.1、TLS 1.2。
如果您有個性化需求(例如,不需要TLS 1.0版本、希望開啟TLS 1.3等),可以自定義TLS配置。相關操作,請參見配置自定義TLS。
WAF是否支持接入采用NTLM協議認證的網站?
不支持。如果網站使用NTLM協議認證,經WAF轉發的訪問請求可能無法通過源站服務器的NTLM認證,客戶端將反復出現認證提示。建議您使用其他方式進行網站認證。
WAF中的源站IP可以填寫ECS內網IP嗎?
不可以。WAF通過公網進行回源,不支持直接填寫內網IP。
WAF能夠保護在一個域名下的多個源站IP嗎?
可以,一個WAF域名配置中最多支持配置20個源站IP地址。
WAF配置多個源站時如何負載?
如果您配置了多個源站IP地址,WAF默認使用IP Hash的方式對訪問請求進行負載均衡。您也可以根據需要自定義負載均衡算法。更多信息,請參見添加域名。
WAF是否支持健康檢查?
WAF默認啟用健康檢查。WAF會對所有源站IP進行接入狀態檢測,如果某個源站IP沒有響應,WAF會將訪問請求轉發至其他源站IP。
源站IP無法響應時,WAF將為該源站IP自動設置一個靜默時間。靜默時間結束后,新的訪問請求可能仍然會被轉發至該源站IP。關于WAF的健康檢查工作原理,請參見CLB健康檢查工作原理。
修改WAF的源站IP是否有延遲?
有。修改WAF已防護的源站IP后,大約需要一分鐘生效。
WAF的回源IP段是多少?
您可以在Web應用防火墻控制臺的頁面查詢WAF的回源IP段。更多信息,請參見放行WAF回源IP段。
WAF是否會自動將WAF回源IP段加入安全組?
WAF不會自動將WAF回源IP段添加到安全組。如果您的源站部署了其他防火墻或主機安全防護軟件,建議您將WAF回源IP段添加至相應的白名單中。
建議您配置源站保護策略,對您的源站進行安全防護。詳細信息,請參見設置源站保護。
WAF回源是否需要放行所有客戶端IP?
根據您的業務情況,您可以只放行WAF回源IP段,也可以放行所有客戶端IP。對于Web業務,建議您只放行WAF回源IP,實現源站保護。
WAF的獨享IP是否能夠防御DDoS攻擊?
可以。
WAF為每個用戶提供獨立的IP,該IP同樣適用DDoS防護的黑洞策略,和ECS、SLB服務器一致。WAF的黑洞閾值和當前地區ECS的默認閾值相同。
WAF能和CDN或DDoS高防一起接入嗎?
WAF完全兼容CDN和DDoS高防服務。同時接入WAF、CDN和DDoS高防的最佳部署架構為:客戶端 > DDoS高防 > CDN > WAF > 負載均衡 > 源站。
WAF與DDoS高防或CDN一起接入時,只要將WAF提供的CNAME地址配置為DDoS高防或CDN的源站即可。這樣就可以實現流量在經過DDoS高防或CDN之后,被轉發到WAF,再通過WAF最終轉發至源站,從而對源站進行全面的安全防護。更多信息,請參見通過聯合部署DDoS高防和WAF提升網站防護能力、部署WAF和CDN為開啟內容加速的域名提供WAF防御。
WAF是否支持跨賬號使用CDN+高防+WAF的架構?
支持,您可以跨賬號使用CDN、高防、WAF產品組合成抵御DDoS攻擊和Web應用攻擊的安全架構。
WAF如何保證上傳證書及密鑰的安全性?是否會解密HTTPS流量并記錄訪問請求的內容?
阿里云Web應用防火墻在防護HTTPS業務時,需要您上傳對應的SSL證書及密鑰,用于解密HTTPS流量并檢測流量中的攻擊特征。我們使用了專用的證書服務器(Key Server)來存儲和管理密鑰。Key Server依托于阿里云密鑰管理系統KMS(Key Management Service),能夠保護證書和密鑰的數據安全性、完整性和可用性,符合監管和等保合規要求。關于KMS的詳細介紹,請參見什么是密鑰管理服務。
WAF使用您上傳的SSL證書及密鑰解密HTTPS業務流量,只用于實時檢測。我們只會記錄包含攻擊特征(payload)的部分請求內容,用于攻擊報表展示、數據統計等,不會在您未授權的情況下,記錄全量的請求或響應內容。
阿里云Web應用防火墻已通過ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三級、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多項國際權威認證,且作為標準的阿里云云產品,在云平臺層面具備與阿里云同等水平的安全合規資質。詳細內容,請參見阿里云信任中心。
使用WAF防護HTTPS業務時,您也可以選擇雙證書方案,即在WAF上使用一套證書及密鑰,在源站服務器上使用另一套證書及密鑰(兩套證書及密鑰必須都是合法的),以便將上傳到WAF的證書及密鑰與源站服務器的證書及密鑰分開管理。
網站已接入WAF防護,為什么在域名列表中查詢不到?
您的網站備案信息可能已經失效,導致域名不符合接入要求,已被WAF自動清除。您需要為該域名完成ICP備案,并重新將網站接入WAF防護。關于阿里云ICP備案的更多信息,請參見ICP備案流程概述。
您在將網站接入中國內地WAF實例(包括包年包月實例和按量計費實例)防護前,必須保證域名備案信息的有效性。為符合相關法律法規要求,中國內地WAF實例會定期清除備案失效的域名。關于相關法律法規,請參見未備案不得提供非經營性互聯網信息服務。
WAF如何防御CC攻擊?
WAF提供多種CC安全防護模式,您可以根據實際情況進行選擇。更多信息,請參見設置CC安全防護。
如果您希望同時有好的防護效果和低誤殺率,建議您選擇WAF企業版和旗艦版,由安全專家定制針對性的防護算法。詳細信息,請參見設置自定義防護策略。
在WAF管理控制臺更改配置后大約需要多久生效?
一般情況下,更改后的配置在一分鐘內即可生效。
WAF自定義防護策略(ACL訪問控制)中的IP字段是否支持填寫網段?
支持。
為什么URL匹配字段包含雙斜杠(//)的自定義防護策略規則不會生效?
由于WAF的規則引擎在處理URL匹配字段時會進行標準化處理,默認將連續的正斜杠(/)進行壓縮,因此無法正確匹配包含雙斜杠(//)URL的自定義防護策略規則。
如果您需要對包含雙斜杠(//)的URL設置ACL訪問控制,您可以直接設置該URL對應的單斜杠路徑作為匹配條件。例如,如果需要將//api/sms/request作為URL匹配字段的條件值,您只需在匹配內容中填寫/api/sms/request,WAF即可針對包含該內容的請求進行訪問控制。
WAF管理控制臺中能查看CC攻擊的攻擊者IP嗎?
可以。您可以開通WAF日志服務,然后使用日志查詢功能查詢CC攻擊的攻擊者IP信息。更多信息,請參見快速使用WAF日志服務、日志查詢。
如何查詢WAF使用的帶寬流量?
您可以在Web應用防火墻控制臺的總覽頁面查看已使用的帶寬流量情況。
WAF如何提升業務賬戶接口的訪問安全性?
隨著企業業務和規模的不斷增長,所受到的攻擊也呈指數上漲,其中賬號越有價值的網站所遭受的攻擊也相對頻繁,攻擊者可能會在某個時間段大量請求某個特定賬戶接口,嘗試登錄賬戶或大量注冊虛假賬號。WAF可自動檢測API,提供賬戶風險識別能力,結合場景化防爬,保護業務中與賬戶關聯的接口。更多詳情,請參見API安全、風險識別、開通和配置Bot管理。
爬蟲如何通過API接口泄漏數據?如何防護?
爬蟲根據一定的規則,自動地抓取互聯網信息,企業可能對線上的API接口缺乏有效的管理,攻擊者在未授權的情況下,獲取到API接口的訪問權限,以及錯誤配置、非法的API訪問請求可能導致敏感數據泄漏。Web應用防火墻提供Bot管理和API安全模塊。
Bot管理基于實時計算得到的惡意爬蟲IP情報庫、動態更新的各大公有云、IDC機房IP庫等情報信息,對惡意請求進行防護處置。更多詳情,請參見開通和配置Bot管理。
API安全支持自動梳理已接入WAF防護的業務中開放的API資產,檢測API漏洞,并通過報表還原API異常事件,提供詳細的漏洞處理建議。更多詳情,請參見API安全。
WAF如何通過自定義Header獲取客戶端源IP和記錄客戶端IP?
自定義Header獲取客戶端源IP:如果網站業務在WAF前有其他七層代理服務(例如,DDoS高防、CDN等),為了避免攻擊者偽造XFF字段,躲避WAF的檢測規則,提高業務的安全性,可在業務中使用自定義Header存放客戶端IP,將客戶端源IP放置在某個自定義的Header字段(例如,X-Client-IP、X-Real-IP),并在WAF中配置對應Header字段,WAF獲取指定Header字段的值作為客戶端源IP。如果設置多個Header字段,WAF將按順序嘗試讀取客戶端IP。
自定義Header記錄客戶端IP:在添加網站到WAF防護時,通過開啟流量標記,使WAF在客戶端請求的自定義Header字段中寫入客戶端IP,后端服務器可以從WAF回源請求的指定Header字段中獲取客戶端IP,適用于后端服務器需要從指定的自定義Header中獲取客戶端IP進行業務分析的場景。
API的主要安全風險和可能導致的結果影響有哪些?建議如何處置風險?
攻擊者有可能在未經授權的情況下獲取API接口的訪問權限、錯誤的配置和非法的API訪問請求可能導致敏感數據泄漏。大量模擬正常業務請求API接口可能導致CC攻擊。未下線的過期API可能導致數據泄漏。
WAF提供了API安全模塊用于此類問題,API安全的核心在于無需用戶進行任何配置,自動發現接入安全業務流量中存在的類似敏感數據泄漏和未受相關限制而在公網暴露的內部接口等高危風險。WAF通過全量API監測和流量可視化,自動發現和歸類API業務,梳理API業務現狀,發現過期的API接口暴露,形成正常的訪問請求模型。通過對API請求參數模型進行自學習,實現異常API調用的準實時預警,并通過配置相應的防護策略規避風險,推動處置閉環。更多詳情,請參見API安全。
HTTP響應碼泄漏可能存在哪些風險?如何防護?
HTTP響應碼表示網頁服務器HTTP響應狀態的3位數字代碼,這些錯誤頁面可能會包含服務器代碼信息、數據庫連接信息、SQL語句或者敏感文件的路徑,攻擊者可進行社會工程信息收集,通過觸發Web應用程序報錯,獲取報錯信息泄露的敏感信息,如Web中間件的版本信息、數據庫連接信息,對某個存在漏洞的特定版本進行定向攻擊。
為了防止服務器的版本信息泄露,建議隱藏服務器在HTTP響應消息頭中的不必要信息,返回默認異常響應頁面。WAF支持攔截指定的HTTP狀態碼,針對特定的HTTP請求狀態碼,配置規則將其攔截或者告警,避免服務器敏感信息泄露。例如,通過設置防護規則,攔截HTTP 404狀態碼。應用規則后,當請求指定網站中不存在的頁面時,返回特定攔截頁面。更多詳細操作,請參見設置自定義響應規則配置攔截響應頁面。
游戲業務存在哪些業務安全風險?如何應對?
游戲業務可能存在外掛、打金、盜號、內容違規等業務安全風險,侵害了玩家體驗和游戲服務商的利益。為應對這些挑戰,阿里云游戲風控方案利用阿里體系風控能力的沉淀,結合數據特征、智能算法、圖計算等技術,對黑產行為進行精準識別。在平臺對用戶真實性要求較高的業務場景中,為了防止用戶繞過身份認證驗證機制,建議采用實人認證。另外,為保障游戲內容的安全,阿里云內容安全公共云API對圖片、語音、文本中可能存在的涉黃、涉政暴恐等內容進行安全檢測。此外,阿里云WAF基于全網流量和威脅情報,阻斷惡意爬蟲的訪問請求,以保護游戲業務的正常運行。
通過域名提供web API服務,可能面臨哪些風險?如何防御?
網絡應用通過Web API實現存儲服務、消息服務、計算服務等功能,從而開發出強大的Web應用。而API接口請求偽造可能導致非法的API訪問請求,例如請求路徑不一致、參數值超出范圍等情況,進而導致敏感數據泄漏。WAF的API安全通過自定義API規則文件來確保只有符合規則的API請求才會被執行。此外,針對API接口爬蟲威脅,如大量爬蟲模擬正常的業務來請求API接口,可能產生業務欺詐和CC攻擊的效果,WAF基于阿里云全網流量和威脅情報,阻斷惡意爬蟲的訪問請求。更多詳情,請參見API安全、開通和配置Bot管理、設置CC防護規則防御CC攻擊。
WAF通過哪些措施降低數據泄漏風險?
WAF通過主動發現風險接口、數據泄漏自動響應、層次化反入侵、攔截爬蟲,發現并處置惡意攻擊,保障企業數據安全。
WAF提供了哪些主要的防護引擎?
WAF通過基本防護規則引擎和自定義規則引擎,對網站、APP的業務流量進行惡意特征識別及防護。更多詳情,請參見基礎防護規則和規則組、自定義規則。
WAF如何智能感知和處理Web攻擊誤報?
由于正常業務請求特征和攻擊檢測規則過于接近,WAF可能將正常業務請求誤判為攻擊。為了控制和降低誤報率,WAF規則防護引擎默認開啟智能規則托管,通過動態管理Web入侵防護白名單,降低攻擊誤攔截風險。誤報風險消除后,規則防護引擎會自動刪除之前自動添加的Web入侵防護白名單規則。 更多詳情,請參見設置白名單規則放行特定請求。
如何通過WAF加強數據庫的安全防御?
WAF通過Web入侵防御、CC和爬蟲防御,提高數據庫的安全水平。更多詳情,請參見基礎防護規則和規則組、開通和配置Bot管理、設置CC防護規則防御CC攻擊。
客戶業務域名解析到SLB,接入WAF后如何防止被繞過?
WAF提供兩種接入方式:CNAME接入和透明接入。對于CNAME接入,建議在網站接入Web應用防火墻后,設置源站服務器的訪問控制策略,僅允許WAF回源IP段的入方向流量,以防止黑客繞過WAF直接攻擊源站。此外,若源站服務器部署了SLB,還需要配置SLB實例的訪問控制策略,確保只有WAF回源IP段的入方向流量被允許。完成SLB訪問控制策略后,測試源站IP的業務端口,若端口無法直接連通但網站業務仍可正常訪問,則表示源站保護設置成功。在配置源站保護前,請確保源站SLB實例上的所有網站域名都已接入WAF進行防護。如果需要擴容WAF集群并增加新的回源網段,還需相應地更新SLB訪問控制列表。至于透明接入,若源站服務器部署在阿里云公網SLB上,除了可以選擇CNAME接入,還可以采用云原生的透明接入方式,無需修改域名DNS解析和設置源站保護。