保护网站/APP/小程序等Web业务免受常见Web攻击

如何配置Web基础防护规则

Web应用防火墙的高频配置:Web基础防护规则开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。您还可以根据实际使用需求,开启Webshell检测深度反逃逸检测header全检测等Web基础防护。

您也可以参考Web基础防护功能最佳实践了解更多Web基础防护规则的配置信息。

前提条件

Web应用防火墙WAF已添加防护网站。

● 云模式的接入方式参见网站接入WAF(云模式)章节;

● 独享模式的接入方式参见网站接入WAF(独享模式)章节。

约束条件

● Web基础防护支持“拦截”“仅记录”模式。

● 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。

● 当Web基础防护设置为“拦截”模式时,您可以配置攻击惩罚标准。配置攻击惩罚后,如果访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。

● 目前华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、华南-深圳、西南-贵阳一、中国-香港和亚太-曼谷区域支持深度检测和header全检测功能。

● 目前华北-北京四、中国-香港区域支持Shiro解密检测功能。

操作步骤

1.登录管理控制台

2.单击管理控制台左上角的,选择区域或项目。

3.单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。

4.在左侧导航树中,选择“网站设置”,进入“网站设置”页面。

5.(旧版)在目标域名所在行的“防护策略”栏中,单击“配置防护策略”,进入“防护策略”页面。

6.(新版)在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”,进入“防护策略”页面。

图1 域名列表

7. 在“Web基础防护”配置框中,用户可根据自己的需要参照表1更改Web基础防护的“状态”和“模式”

表1 防护动作参数说明

8.在“Web基础防护”配置框中,单击“高级设置”,进入“Web基础防护”界面。

9. 选择“防护配置”页签,根据您的业务场景,开启合适的防护功能,如图3所示,检测项说明如表3所示。

图3 Web基础防护

须知:当“模式”设置为“拦截”时,您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作,请参见配置攻击惩罚标准

a.防护等级设置

在页面上方,选择防护等级,Web基础防护设置了三种防护等级:“宽松”“中等”“严格”,默认情况下,选择“中等”。

表2 防护等级说明

b.防护检测类型设置

须知:默认开启“常规检测”防护检测,用户可根据业务需要,参照表3开启其他需要防护的检测类型。

表3 检测项说明

检测项

说明

常规检测

防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中,SQL注入攻击主要基于语义进行检测。

说明:开启“常规检测”后,WAF将根据内置规则对常规检测项进行检测。

Webshell检测

防护通过上传接口植入网页木马。

说明:开启“Webshell检测”后,WAF将对通过上传接口植入的网页木马进行检测。

深度检测

防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。

说明:

开启“深度检测”后,WAF将对深度反逃逸进行检测防护。

header全检测

默认关闭。关闭状态下WAF会检测常规存在注入点的header字段,包含User-Agent、Content-type、Accept-Language和Cookie。

说明:

开启“header全检测”后,WAF将对请求里header中所有字段进行攻击检测。

Shiro解密检测

默认关闭。开启后,WAF会对Cookie中的rememberMe内容做AES,Base64解密后再检测。Web应用防火墙检测机制覆盖了几百种已知泄露密钥。

说明:

如果您的网站使用的是Shiro 1.2.4及之前的版本,或者升级到了Shiro 1.2.5及以上版本但是未配置AES,强烈建议您开启“Shiro解密检测”,以防攻击者利用已泄露的密钥构造攻击。

常规检测

说明

防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中,SQL注入攻击主要基于语义进行检测。

说明:开启“常规检测”后,WAF将根据内置规则对常规检测项进行检测。

Webshell检测

说明

防护通过上传接口植入网页木马。

说明:开启“Webshell检测”后,WAF将对通过上传接口植入的网页木马进行检测。

深度检测

说明

防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。

说明:

开启“深度检测”后,WAF将对深度反逃逸进行检测防护。

header全检测

说明

默认关闭。关闭状态下WAF会检测常规存在注入点的header字段,包含User-Agent、Content-type、Accept-Language和Cookie。

说明:

开启“header全检测”后,WAF将对请求里header中所有字段进行攻击检测。

Shiro解密检测

说明

默认关闭。开启后,WAF会对Cookie中的rememberMe内容做AES,Base64解密后再检测。Web应用防火墙检测机制覆盖了几百种已知泄露密钥。

说明:

如果您的网站使用的是Shiro 1.2.4及之前的版本,或者升级到了Shiro 1.2.5及以上版本但是未配置AES,强烈建议您开启“Shiro解密检测”,以防攻击者利用已泄露的密钥构造攻击。

10.选择“防护规则”页签,查看Web基础防护规则的详细信息,如图4所示,相关参数说明如表4所示。

图4 查看防护规则

说明:单击,您可以根据“CVE编号”、“危险等级”、“应用类型”或“防护类型”,搜索指定规则。

表4 防护规则说明

参数

说明

规则ID

防护规则的ID,由系统自动生成。

规则描述

防护规则对应的攻击详细描述。

CVE编号

防护规则对应的CVE(Common Vulnerabilities & Exposures,通用漏洞披露)编号。对于非CVE漏洞,显示为--。

危险等级

防护规则防护漏洞的危险等级,包括:

• 高危

• 中危

• 低危

应用类型

防护规则对应的应用类型,WAF覆盖的应用类型见表5 WAF覆盖的应用类型

防护类型

防护规则的类型,WAF覆盖的防护类型:SQL注入、命令注入、跨站脚本、XXE注入、表达式注入攻击、CSRF、SSRF、本地文件包含、远程文件包含、网站木马、恶意爬虫、会话固定漏洞攻击、反序列化漏洞、远程命令执行、信息泄露、拒绝服务、源码/数据泄露。

规则ID

说明

防护规则的ID,由系统自动生成。

规则描述

说明

防护规则对应的攻击详细描述。

CVE编号

说明

防护规则对应的CVE(Common Vulnerabilities & Exposures,通用漏洞披露)编号。对于非CVE漏洞,显示为--。

危险等级

说明

防护规则防护漏洞的危险等级,包括:

• 高危

• 中危

• 低危

应用类型

说明

防护规则对应的应用类型,WAF覆盖的应用类型见表5 WAF覆盖的应用类型

防护类型

说明

防护规则的类型,WAF覆盖的防护类型:SQL注入、命令注入、跨站脚本、XXE注入、表达式注入攻击、CSRF、SSRF、本地文件包含、远程文件包含、网站木马、恶意爬虫、会话固定漏洞攻击、反序列化漏洞、远程命令执行、信息泄露、拒绝服务、源码/数据泄露。

配置示例-拦截SQL注入攻击

SQL 注入(SQL Injection)是发生在 Web 应用/网站中数据库层的安全漏洞,是网站存在最多也是最简单的漏洞。主要原因是程序对用户输入数据的合法性没有判断和处理,导致攻击者可以在 Web 应用程序中事先定义好的 SQL语句中添加额外的 SQL语句,欺骗数据库服务器执行非授权的任意查询,从而进一步获取到数据信息。攻击者一旦通过SQL注入攻击获得数据库“增删改查”权限,就可以执行数据篡改、恶意删库,甚至植入勒索病毒,企业业务将陷于瘫痪,极难恢复,且平均善后开支高昂。Web应用防火墙WAF可以实时检测并拦截SQL注入攻击。


假如防护域名“www.example.com”已接入Web应用防火墙WAF,您可以参照以下操作步骤验证WAF拦截SQL注入攻击。

1.Web应用防火墙控制台-开启Web基础防护的“常规检测”,并将防护模式设置为“拦截”

图5 开启“常规检测”

2.Web应用防火墙控制台-开启Web基础防护。

3.清理浏览器缓存,在浏览器中输入模拟SQL注入攻击(例如,http://www.example.com?id=' or 1=1)。

Web应用防火墙WAF将拦截该访问请求,拦截页面示例如图7所示:

图7 WAF拦截攻击请求

4.返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。

图8 查看防护事件-SQL注入攻击

常见问题

常见问题

  • Web基础防护支持设置哪几种防护等级?

    Web基础防护设置了三种防护等级:“宽松”、“中等”、“严格”,默认为“中等”。防护等级相关说明如下所示。

    • 宽松

    防护粒度较粗,只拦截攻击特征比较明显的请求;当误报情况较多的场景下,建议选择“宽松”模式。

    • 中等

    默认为“中等”防护模式,满足大多数场景下的Web防护需求。

    • 严格

    防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求,例如jolokia网络攻击、探测CGI漏洞、探测 Druid SQL注入攻击。建议您等待业务运行一段时间后,根据防护效果配置全局白名单(原误报屏蔽)规则,再开启“严格”模式,使WAF能有效防护更多攻击。


    有关配置Web基础防护规则的详细操作,请参见配置Web基础防护规则

  • Web应用防火墙支持哪些防护规则?

    本节介绍Web应用防火墙支持的防护规则。

    • Web基础防护

    可防范常规的web应用攻击,如SQL注入攻击、XSS跨站攻击等,可检测webshell,检查HTTP上传通道中的网页木马,打开开关即实时生效。

    • CC攻击防护

    可根据IP、Cookie或者Referer字段名设置灵活的限速策略,有效缓解CC攻击。

    • 精准访问防护

    对常见HTTP字段进行条件组合, 支持定制化防护策略如CSRF防护,通过自定义规则的配置,更精准的识别恶意伪造请求、保护网站敏感信息、提高防护精准性。

    • IP黑白名单

    添加终拦截与始终放行的黑白名单IP,增加防御准确性。

    • 地理位置访问控制

    添加地理位置访问控制规则,针对来源IP进行自定义访问控制。

    • 网页防篡改

    对网站的静态网页进行缓存配置,当用户访问时返回给用户缓存的正常页面,并随机检测网页是否被篡改。

    • 网站反爬虫

    动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为。

    • 全局白名单(原误报屏蔽)规则

    针对特定请求忽略某些攻击检测规则,用于处理误报事件。

    • 隐私屏蔽

    隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。

    • 防敏感信息泄露

    防止在页面中泄露用户的敏感信息,例如:用户的身份证号码、手机号码、电子邮箱等。

  • Web应用防火墙的哪些防护规则支持仅记录模式?

    Web应用防火墙的Web基础防护规则支持“仅记录”模式。

    • 有关配置Web基础防护规则的详细操作,请参见配置Web基础防护规则

    WAF的CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则和网站反爬虫支持“仅记录”防护动作。

    • 有关配置黑白名单规则的详细操作,请参见配置黑白名单规则

    • 有关配置地理位置访问控制规则的详细操作,请参见配置地理位置访问控制规则

  • 系统自动生成策略包括哪些防护规则?

    在添加防护网站进行“策略配置”时,您可以选择已创建的防护策略或默认的“系统自动生成策略”,系统自动生成的策略相关说明如表1所示。您也可以在域名接入后根据防护需求配置防护规则。

    表1 系统自动生成策略说明

    说明:“仅记录”模式:发现攻击行为后WAF只记录攻击事件不阻断攻击。

相关产品推荐

  • 企业主机安全 HSS

    多云主机资产管理,病毒查杀,漏洞修复等

    多云主机资产管理,病毒查杀,漏洞修复等

  • DDoS高防 AAD

    抗DDoS攻击类防护服务,抵御各类DDoS攻击

    抗DDoS攻击类防护服务,抵御各类DDoS攻击

  • 云证书管理 CCM

    云上证书颁发与管理,包含私有证书

    云上证书颁发与管理,包含私有证书

1对1咨询华为云专属顾问,快速了解Web应用防火墙

免费咨询