4步快速开启WAF防护
Step2 添加防护域名
- 步骤
1)左侧导航树中选择“网站设置”,在域名列表的左上角,单击“添加防护网站”,选择“云模式”并单击“确认”。
2)防护域名:支持单域名(www.domain.com)和泛域名(*.domain.com)。
3)源站配置:分别完成“防护域名端口”、“对外协议”、“源站协议”、“源站地址”、“源站端口”的配置。
4)高级配置:根据业务需要,配置“IPv6防护”、“负载均衡算法”、“代理”、“HTTP2协议”以及“策略配置”。
- 说明
1)系统默认防护“80”和“443”端口,如需配置除“80”和“443”以外的端口,勾选“非标准端口”,在“端口”下拉列表中选择非标准端口。
2)“对外协议”选择“HTTPS”时,需要选择证书或者导入新证书,证书转换请参见导入新证书。
3)如果WAF前已使用如CDN、云加速等提供七层Web代理的产品,为了保障WAF的安全策略能够针对真实源IP生效,“代理”请务必选择“是”。
Step3 域名接入
- 步骤
1)(未使用代理)按界面提示,到该域名的DNS服务商处,将其解析指向新的CNAME值。
2)(使用了代理)按界面提示,将代理类服务(高防DDOS、CDN服务等)的回源地址修改为WAF的CNAME地址。为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加“子域名”,并为它配置“TXT记录”,具体的配置方法请参见未配置子域名和TXT记录的影响?
- 说明
1)默认情况下,服务每隔一小时就会自动检测每个防护域名的接入状态。如果您确认已完成域名接入,“接入状态”为“已接入”,表示域名接入成功。
2)WAF防护默认状态为“仅记录”模式,按照Step4开启WAF“拦截”模式。
Step4 开启WAF防护
- 步骤
1)在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”。
2)在“Web基础防护”配置框中,选择“拦截”模式。
- 说明
开启Web基础防护的“拦截”模式后,发现攻击行为后立即阻断并记录。
最佳实践
最佳实践
Web基础防护功能最佳实践
Web基础防护是WAF开启率最高的功能之一,本文介绍了WAF的Web攻击防护最佳实践,主要从应用场景、防护策略、防护效果三个方面进行介绍。
通过配置ECS/ELB访问策略保护源站安全
网站已接入WAF进行安全防护后,您可以通过设置源站服务器的访问控制策略,只放行WAF回源IP段,防止黑客获取您的源站IP后绕过WAF直接攻击源站。
通过LTS配置WAF规则的拦截告警
开启WAF全量日志功能后,您可以将攻击日志、访问日志记录到云日志服务中,通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。
通过配置反爬虫防护策略阻止爬虫攻击
Web应用防火墙可以通过Robot检测(识别User-Agent)、网站反爬虫(检查浏览器合法性)和CC攻击防护(限制访问频率)反爬虫策略,帮您解决业务网站遭受的爬虫问题。
WAF接入配置最佳实践
网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。本文介绍如何在已添加网站配置后,配置域名解析,实现业务接入。
CC攻击防御最佳实践
本章节指导您在遭遇CC(Challenge Collapsar)攻击时,完成基于IP限速、基于Cookie字段识别以及通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载等防护规则的配置。
