重保場景防護適用于特定時間段的重大活動安全保障,為您提供更加精準和定制化的防御模式。本文介紹如何開啟和使用重保場景防護模式。
計費說明
產品及服務價格可能會發生變動,最終請以您的阿里云賬單為準。
特性 | 說明 |
計費模式 | 重保場景防護采用預付費模式,支持30天起購買,并根據開通時所選的時長,生成預付費賬單。 |
有效期 | 重保場景防護在購買后立即生效,有效期為開通時所選的購買時長。 到期后,重保場景防護功能將自動停止防護。 |
續費 | 重保場景防護暫不支持直接續費。如果您希望繼續使用重保場景防護功能,您可以在到期后再次開通重保場景防護。 |
退款說明 | 重保場景防護購買成功后,不支持任何形式的退訂(包含五天無理由退訂、非五天無理由退訂)及退款。購買前,請根據業務需求評估是否購買。 |
價格 | 49800元/月 |
前提條件
已開通WAF 3.0服務。具體操作,請參見開通WAF 3.0包年包月實例、開通WAF 3.0按量付費實例。
不同版本的實例對應的開通重保場景防護方式不同。
已開通實例的版本
是否默認開通重保場景防護
說明
包年包月旗艦版
是
無需單獨開通重保場景防護,可直接使用該功能。
包年包月高級版和企業版、按量付費版
否,可通過臨時升級開通
包年包月基礎版
否,且暫不支持開通重保場景防護
已通過CNAME接入、云產品接入(CLB(HTTP/HTTPS)、CLB(TCP)、ECS)完成Web業務接入。具體操作,請參見接入管理概述。
說明通過ALB、MSE或FC接入WAF的防護對象暫不支持該功能。
開通重保場景防護
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇防護配置> 場景防護> 重保場景防護。
單擊開通重保防護,在開通重保防護面板,開啟重保場景,并設置還原時間。
仔細閱讀并選中服務協議后,單擊立即購買并完成支付。
開通重保場景防護后,您可以在重保場景防護頁面,在重保場景防護包卡片區域,查看重保場景防護的規格詳情。
新建重保場景防護規則模板
首次配置重保場景防護時,您必須新建一個重保場景防護規則模板。最多支持創建20個防護模板。
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇防護配置> 場景防護> 重保場景防護。
在防護模板頁簽,單擊新建模板。
在新建重保防護模板面板,完成以下配置。
配置基本信息。完成后,單擊下一步。
配置項
說明
模板名稱
為該模板設置一個名稱。
長度為1~255個字符,支持中文和大小寫英文字母,可包含數字、半角句號(.)、下劃線(_)和短劃線(-)。
防護規則
配置要應用的防護規則并配置規則動作。
重保威脅情報:攻防對抗惡意IP情報,精準識別攻擊者。默認開啟,且防護動作配置為觀察。
重保防護規則組:基于智能防護模型,針對每個用戶生成精準的防護規則集合。默認開啟,且防護動作配置為觀察。
重保IP黑名單:開啟該功能,WAF會觀察或攔截來自特定IP地址或地址段的請求,支持下發50,000條自定義IP或IP段黑名單。
Shiro反序列化漏洞防護:開啟該功能,WAF會基于cookie加密技術防護Apache Shiro Java反序列化漏洞。
生效對象
從已添加的防護對象及對象組中,選擇要應用該模板的防護對象和防護對象組。
如果配置基本信息時,開啟重保IP黑名單防護規則,則需要通過以下方式配置IP黑名單。完成后,單擊下一步。
配置項
操作
新增IP黑名單
單擊新增IP黑名單,可手動添加IP黑名單。
在IP黑名單文本框,輸入要加入黑名單的IP,回車保存。
說明IP黑名單為IPv6或CIDR掩碼格式的地址段,多個地址之間用回車或英文逗號分隔,最多配置500個。
設置生效截止時間。可選項:
永久生效。
自定義。單擊時間選擇器,指定具體的生效截止時間。
在備注文本框,輸入備注信息后,單擊確定。
成功新增黑名單后,您可在IP黑名單配置面板查看新增的IP黑名單。
導入IP黑名單
單擊導入IP黑名單,可批量導入IP黑名單。
單擊上傳文件,選擇要導入的IP黑名單文件。
重要支持上傳CSV格式文件。
支持導入IPv4和IPv6格式的地址和地址段。
每條規則可導入一個文件,每個文件最多支持2000個IP/IP段,一個IP段占用1個計數單元,單次導入的文件大小不能超過1 MB。
有大批量IP導入的情況下,可分多次導入。
設置生效截止時間。可選項:
永久生效。
自定義。單擊時間選擇器,指定具體的生效截止時間。
在備注文本框,輸入備注信息后,單擊確定。
成功新增黑名單后,您可在IP黑名單配置面板查看新增的IP黑名單。
清空所有IP
如果已添加IP的請求不再需要被攔截,您可以單擊清空所有IP,刪除所有IP。
清空過期IP
如果已添加IP的生效截止時間已過期,您可以單擊清空過期IP,清空所有過期IP。
單擊完成。
新建的規則模板默認開啟。您可以在規則模板列表執行如下操作:
查看防護模板包含的防護規則、關聯的防護對象/組的數量。
通過模板開關,開啟或關閉模板。
編輯、刪除或復制規則模板。
如果當前防護模板已開啟重保IP黑名單規則,可單擊編輯IP黑名單,添加或修改IP黑名單。
查看重保場景防護數據
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇防護配置> 場景防護> 重保場景防護。
在安全報表頁簽,您可以查看如下信息。
在防護數據卡片區域,查看統計截止時間內的請求總數、攔截總數和通過餅狀圖展示的防護類型及其數據。
在重保場景防護包卡片區域,查看統計截止時間內的重保規則數、威脅情報規則數、IP黑名單已使用規格/總規格等信息。
在安全報表頁簽,設置要查詢的防護對象和時間范圍,查詢對應的安全報表數據。
防護對象:默認已選擇所有對象,表示查詢已接入WAF防護的所有對象的數據。您可以選擇只查詢某個對象的數據。
時間范圍:默認展示今天的數據。您可以選擇查詢昨天、今天、7天、30天或最近30天范圍內任意時間的數據。
安全報表數據說明如下表所示。
數據類型
說明
支持的操作
攻擊統計分析(圖示①)
展示在指定時間范圍內,防護對象收到的攻擊請求的統計分析結果,包括:
安全攻擊類型分布:
通過餅狀圖,展示攻擊類型的分布情況。
TOP5攻擊情況:
在攻擊對象頁簽、攻擊源IP頁簽,通過列表,分別展示發起攻擊請求次數最多的前5個攻擊對象、攻擊源IP。按照攻擊次數由大到小排序。
無
攻擊事件記錄(圖示②)
通過列表,展示觸發基礎防護規則的攻擊請求的信息。
列表中包含以下信息:
攻擊IP:發起攻擊請求的IP地址。
所屬區域:攻擊IP所屬地域。
攻擊時間:攻擊的開始時間。
攻擊類型:攻擊的類型,例如,SQL注入、代碼執行等。
規則類型:規則所屬的類型,例如,重保防護規則組、重保威脅情報等。
規則動作:分為攔截(表示WAF攔截了該請求)和觀察(表示WAF只觀察記錄該請求為攻擊請求,未攔截該請求)。
篩選攻擊事件
您可以在攻擊事件表格上方,使用以下字段(從左到右依次排序)篩選攻擊事件:
攻擊類型:默認已選擇全部。其他可選項:SQL注入、跨站腳本、代碼執行、本地文件包含、遠程文件包含、Webshell、其他。
規則類型:默認已選擇全部。其他可選項:重保防護規則組、重保威脅情報、重保IP黑名單、Shiro反序列化漏洞防護。
規則動作:默認已選擇全部。其他可選項:攔截、觀察。
查看攻擊詳情
在攻擊事件操作列,單擊目標事件的查看詳情,可以查看攻擊詳情,獲取關于攻擊事件和防護規則的更多信息,例如,規則ID、規則名稱、規則描述、規則動作、攻擊類型等。
實時威脅情報(圖示③)
實時展示攻擊IP威脅情報信息,包括:
攻擊IP及其屬性。
攻擊IP所屬區域。
近一小時攻擊次數。
攻擊類型。
查詢攻擊IP實時威脅情報
在搜索框輸入要查詢的IP,單擊
,可查詢IP對應的威脅情報屬性。