華為云Web應(yīng)用防火墻 WAF：Web基礎(chǔ)防護(hù)功能最佳實(shí)踐

本文介紹了華為云WAF的Web攻擊防護(hù)最佳實(shí)踐，主要從應(yīng)用場(chǎng)景、防護(hù)策略、防護(hù)效果三個(gè)方面進(jìn)行介紹。

應(yīng)用場(chǎng)景

Web應(yīng)用防火墻（Web Application Firewall，WAF），通過對(duì)HTTP(S)請(qǐng)求進(jìn)行檢測(cè)，識(shí)別并阻斷SQL注入、跨站腳本攻擊、網(wǎng)頁(yè)木馬上傳、命令/代碼注入、文件包含、敏感文件訪問、第三方應(yīng)用漏洞攻擊、CC攻擊、惡意爬蟲掃描、跨站請(qǐng)求偽造等攻擊，保護(hù)Web服務(wù)安全穩(wěn)定。

防護(hù)策略

1.登錄管理控制臺(tái)。

2.單擊管理控制臺(tái)左上角的，選擇區(qū)域或項(xiàng)目。

3.單擊頁(yè)面左上方的，選擇“安全>Web應(yīng)用防火墻WAF”。

4.在左側(cè)導(dǎo)航樹中，選擇“網(wǎng)站設(shè)置”，進(jìn)入“網(wǎng)站設(shè)置”頁(yè)面。

5.在目標(biāo)域名所在行的“防護(hù)策略”欄中，單擊“配置防護(hù)策略”，進(jìn)入“防護(hù)配置”頁(yè)面。

6.在“Web基礎(chǔ)防護(hù)”配置框中，查看Web應(yīng)用攻擊防護(hù)的防護(hù)狀態(tài)，如圖1所示。

圖1 Web基礎(chǔ)防護(hù)配置框

Web基礎(chǔ)防護(hù)功能默認(rèn)為開啟狀態(tài)，并使用“僅記錄”模式的防護(hù)規(guī)則策略。

狀態(tài)

：表示W(wǎng)AF的Web基礎(chǔ)防護(hù)的防護(hù)模塊已開啟。

：表示該防護(hù)模塊處理關(guān)閉狀態(tài)。

模式：分為攔截和僅記錄兩種模式。

“攔截”模式表示當(dāng)遭受Web攻擊時(shí)，WAF立即攔截攻擊請(qǐng)求，并在后臺(tái)記錄攻擊日志。

“僅記錄”模式表示當(dāng)遭受Web攻擊時(shí)，WAF不會(huì)攔截攻擊請(qǐng)求，僅在后臺(tái)記錄攻擊日志。

7.單擊“高級(jí)設(shè)置”，進(jìn)入“Web基礎(chǔ)防護(hù)”界面，如圖2所示。

圖2 Web基礎(chǔ)防護(hù)

·“防護(hù)等級(jí)”：分為寬松、中等、嚴(yán)格三種模式，默認(rèn)為“中等”防護(hù)模式。

表1防護(hù)等級(jí)說明

·靈活設(shè)置防護(hù)檢測(cè)類型。

WAF默認(rèn)開啟“常規(guī)檢測(cè)”和“掃描器”防護(hù)檢測(cè)，用戶可根據(jù)業(yè)務(wù)需要，開啟其他需要防護(hù)的檢測(cè)類型。

使用建議

·如果您對(duì)自己的業(yè)務(wù)流量特征還不完全清楚，建議先切換到“僅記錄”模式進(jìn)行觀察。一般情況下，建議您觀察一至兩周，然后分析僅記錄模式下的攻擊日志。

如果沒有發(fā)現(xiàn)任何正常業(yè)務(wù)流量被攔截的記錄，則可以切換到“攔截”模式啟用攔截防護(hù)。

如果發(fā)現(xiàn)攻擊日志中存在正常業(yè)務(wù)流量，建議調(diào)整防護(hù)等級(jí)或者設(shè)置誤報(bào)屏蔽來避免正常業(yè)務(wù)的誤攔截。

·業(yè)務(wù)操作方面應(yīng)注意以下問題：

正常業(yè)務(wù)的HTTP請(qǐng)求中盡量不要直接傳遞原始的SQL語(yǔ)句、JAVA SCRIPT代碼。

正常業(yè)務(wù)的URL盡量不要使用一些特殊的關(guān)鍵字（UPDATE、SET等）作為路徑，例如：“https://www.example.com/abc/update/mod.php?set=1”。

如果業(yè)務(wù)中需要上傳文件，不建議直接通過Web方式上傳超過50M的文件，建議使用對(duì)象存儲(chǔ)服務(wù)或者其他方式上傳。

防護(hù)效果

開啟Web基礎(chǔ)防護(hù)功能后，您可以在“安全總覽”頁(yè)面，查看攻擊的攔截日志，如圖3所示。

圖3查看防護(hù)日志

在“防護(hù)事件”頁(yè)面，您可查看“昨天”、“今天”、“3天”、7天、“30天”或者自定義時(shí)間范圍內(nèi)的防護(hù)日志。同時(shí)，單擊“詳情”，可以查看具體的攻擊信息，如圖4所示。

圖4篩選誤攔截事件