華為云Web應(yīng)用防火墻 WAF：Web基礎(chǔ)防護功能最佳實踐

本文介紹了華為云WAF的Web攻擊防護最佳實踐，主要從應(yīng)用場景、防護策略、防護效果三個方面進行介紹。

應(yīng)用場景

Web應(yīng)用防火墻（Web Application Firewall，WAF），通過對HTTP(S)請求進行檢測，識別并阻斷SQL注入、跨站腳本攻擊、網(wǎng)頁木馬上傳、命令/代碼注入、文件包含、敏感文件訪問、第三方應(yīng)用漏洞攻擊、CC攻擊、惡意爬蟲掃描、跨站請求偽造等攻擊，保護Web服務(wù)安全穩(wěn)定。

防護策略

1.登錄管理控制臺。

2.單擊管理控制臺左上角的，選擇區(qū)域或項目。

3.單擊頁面左上方的，選擇“安全>Web應(yīng)用防火墻WAF”。

4.在左側(cè)導航樹中，選擇“網(wǎng)站設(shè)置”，進入“網(wǎng)站設(shè)置”頁面。

5.在目標域名所在行的“防護策略”欄中，單擊“配置防護策略”，進入“防護配置”頁面。

6.在“Web基礎(chǔ)防護”配置框中，查看Web應(yīng)用攻擊防護的防護狀態(tài)，如圖1所示。

圖1 Web基礎(chǔ)防護配置框

Web基礎(chǔ)防護功能默認為開啟狀態(tài)，并使用“僅記錄”模式的防護規(guī)則策略。

狀態(tài)

：表示W(wǎng)AF的Web基礎(chǔ)防護的防護模塊已開啟。

：表示該防護模塊處理關(guān)閉狀態(tài)。

模式：分為攔截和僅記錄兩種模式。

“攔截”模式表示當遭受Web攻擊時，WAF立即攔截攻擊請求，并在后臺記錄攻擊日志。

“僅記錄”模式表示當遭受Web攻擊時，WAF不會攔截攻擊請求，僅在后臺記錄攻擊日志。

7.單擊“高級設(shè)置”，進入“Web基礎(chǔ)防護”界面，如圖2所示。

圖2 Web基礎(chǔ)防護

·“防護等級”：分為寬松、中等、嚴格三種模式，默認為“中等”防護模式。

表1防護等級說明

·靈活設(shè)置防護檢測類型。

WAF默認開啟“常規(guī)檢測”和“掃描器”防護檢測，用戶可根據(jù)業(yè)務(wù)需要，開啟其他需要防護的檢測類型。

使用建議

·如果您對自己的業(yè)務(wù)流量特征還不完全清楚，建議先切換到“僅記錄”模式進行觀察。一般情況下，建議您觀察一至兩周，然后分析僅記錄模式下的攻擊日志。

如果沒有發(fā)現(xiàn)任何正常業(yè)務(wù)流量被攔截的記錄，則可以切換到“攔截”模式啟用攔截防護。

如果發(fā)現(xiàn)攻擊日志中存在正常業(yè)務(wù)流量，建議調(diào)整防護等級或者設(shè)置誤報屏蔽來避免正常業(yè)務(wù)的誤攔截。

·業(yè)務(wù)操作方面應(yīng)注意以下問題：

正常業(yè)務(wù)的HTTP請求中盡量不要直接傳遞原始的SQL語句、JAVA SCRIPT代碼。

正常業(yè)務(wù)的URL盡量不要使用一些特殊的關(guān)鍵字（UPDATE、SET等）作為路徑，例如：“https://www.example.com/abc/update/mod.php?set=1”。

如果業(yè)務(wù)中需要上傳文件，不建議直接通過Web方式上傳超過50M的文件，建議使用對象存儲服務(wù)或者其他方式上傳。

防護效果

開啟Web基礎(chǔ)防護功能后，您可以在“安全總覽”頁面，查看攻擊的攔截日志，如圖3所示。

圖3查看防護日志

在“防護事件”頁面，您可查看“昨天”、“今天”、“3天”、7天、“30天”或者自定義時間范圍內(nèi)的防護日志。同時，單擊“詳情”，可以查看具體的攻擊信息，如圖4所示。

圖4篩選誤攔截事件