Web应用防火墙使用“指北”-阿里云开发者社区

开发者社区> mersap> 正文

Web应用防火墙使用“指北”

简介: WAF全称Web Application Firewall,是部署在web服务器前面保护网站应用抵御来自外部和内部的攻击。作为互联网金融行业的大师兄,悟空理财随着业务的发展也不停的在应对web攻击,一直在跟随着阿里云web应用防火墙“前进”。
+关注继续查看

WAF全称Web Application Firewall,是部署在web服务器前面保护网站应用抵御来自外部和内部的攻击。作为互联网金融行业的大师兄,随着业务的发展也不停的在应对web攻击,一直在跟随着阿里云web应用防火墙“前进”。项目前期我们调研过几家waf,包括开源和第三方厂商,但由于配置、可视化、防护策略、报表、日志和接入方式等原因没有最后采纳使用。

阿里云WAF产品支持多个维度的安全防护,包括:Web应用攻击防护、恶意IP惩罚、CC安全防护、大数据深度学习引擎、精准访问控制、封禁地区、新智能防护引擎、网站防篡改、数据风控、防敏感信息泄漏。
最终,我们选定阿里云WAF作为我们外部防护的一个组件。下面给大家简单的做一个使用指引和我们使用时遇到的一些问题。

一、WAF配置

登录阿里云控制台,通过导航菜单【安全(云盾)】| Web应用防火墙 | 网站配置 | 网站添加,进行域名添加。按照提示添加对应项目,修改dns。

1

1、如果选择https强制跳转,要保证业务完全支持https协议;
2、waf前是否有7层代理,根据自己真实场景来选择,否则会造成waf防护异常;
3、如果应用本身有防火墙,需要添加waf ip段到白名单。

二、WAF防护配置

通过点击对应域名【防护配置】,进入WAF防护配置界面。

案例1、办公区出口ip白名单

精准访问控制:办公区白名单,公网出口IP为1.1.1.1的全部放行。同理如果是黑名单,则选择对应的阻断即可。

2
目前阿里云WAF匹配字段支持比较全面,包括IP、URL、Refer、UA、Params、Cookie、Content-Type、XFF、Post-Body。

案例2、防止用接口被刷
通过CC安全防护 :URI:/api/login在一分钟内,单一IP访问次数大于10次,则对此ip封禁30分钟。(访问次数、封禁时长可以根据自身业务来调整)
3
CC防护对URI进行防护,通常可用于:防止短信接口、登录接口等被刷。

阿里云WAF上手还是比较容易的,但是所有的规则是预设的规则并不一定全部适用于自身业务,可参考但是不建议生搬。

三、日常维护

通过【总览】进入Dashboard,来查看所有应用业务状态。包括但不限于:业务QPS、带宽、业务异常监控、访问来源、慢接口、访问top5接口。可直观地看出业务访问量,是否有异常。

4
【安全报表】

通过攻击数据来新增策略,比如:发现单一IP,对业务有大量的sql注入,此时我们可以通过访问控制策略对该ip进行直接封禁。

【全量日志】
查看所有用户请求日志定位问题,目前支持如下选项:

5

四、现存问题

针对阿里云Web应用防火墙功能,我们在实际使用过程中依旧有一些瑕疵:比如用户访问分布地图,大多数的业务是在中国(或者根据客户ip来显示地图);访问控制:比如白名单不是网段或者list;还有一个最重要的就是日志类:异常不可以从Dashboard直接跳转到对应的日志、而且也不支持报表定制;与DDos接入不是很友好、不够简单;不过听说大屏近期上线,十分期待。

五、总结

阿里云Web应用防火墙功能WAF产品总体已经完全可以满足中小型企业安全防护要求,希望阿里云WAF产品飞快的迭代、完善。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10249 0
如何使用Visual Studio Code调试PHP CLI应用和Web应用
在按照Jerry的公众号文章 什么?在SAP中国研究院里还需要会PHP开发? 进行XDebug在本地的配置之后,如果想使用Visual Studio Code而不是Eclipse来调试PHP应用,步骤也比较简单。
1061 0
阿里云Web应用托管服务(web+)如何使用命令行工具变更部署环境配置?
今天我们来向大家介绍一下,阿里云Web应用托管服务(web+)中如何使用命令行工具对应用部署环境进行变更。在此之前请您确保wpctl命令行工具已经正确安装并配置。 我们首先输入wpctl env:apply --help查阅apply命令的帮助文档。
750 0
网站防CC攻击软件防火墙和WEB防火墙大比较
CC攻击是一种成本极低的DDOS攻击方式,只要有上百个IP,每个IP弄几个进程,那么可以有几百上千个并发请求,很容易让服务器资源耗尽,从而造成网站宕机;防御CC攻击,硬件防火墙的效果不怎么明显,因为CC攻击的IP量太小,很难触发防御机制,反而是软件防火墙、WEB防火墙更容易防御。
1340 0
Web应用防火墙按量资源包上线售卖(WAF-V4.2.0.0)
信息摘要: web应用防火墙按量资源包上线售卖,支持按量后付费账单从默认资源包抵扣,方便用户操作,并有效支持分阶定价,计费更合理。适用客户: 使用Web应用防火墙按量计费版本的客户版本/规格功能: web应用防火墙按量资源包上线售卖,有效支持分阶定价,根据客户的使用量定义不同的折扣粒度,计费价格更合理。
524 0
+关注
mersap
运维工程 具备大规模服务运维经验;具备大型项目实施经验;较强的交流、沟通和表达能力;良好的项目控制、组织和协调的能力;具有较强的实际操作能力和较强的抗压能力;有强烈的进取心和求知欲;善于学习和运用新知识;具有良好的敬业精神,做事认真,仔细,负责。
14
文章
5
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载