WAF全稱Web Application Firewall,是部署在web伺服器前面保護網站應用抵禦來自外部和内部的攻擊。作為網際網路金融行業的大師兄,随着業務的發展也不停的在應對web攻擊,一直在跟随着阿裡雲web應用防火牆“前進”。項目前期我們調研過幾家waf,包括開源和第三方廠商,但由于配置、可視化、防護政策、報表、日志和接入方式等原因沒有最後采納使用。
阿裡雲WAF産品支援多個次元的安全防護,包括:Web應用攻擊防護、惡意IP懲罰、CC安全防護、大資料深度學習引擎、精準通路控制、封禁地區、新智能防護引擎、網站防篡改、資料風控、防敏感資訊洩漏。
最終,我們標明阿裡雲WAF作為我們外部防護的一個元件。下面給大家簡單的做一個使用指引和我們使用時遇到的一些問題。
登入阿裡雲控制台,通過導航菜單【安全(雲盾)】| Web應用防火牆 | 網站配置 | 網站添加,進行域名添加。按照提示添加對應項目,修改dns。
1、如果選擇https強制跳轉,要保證業務完全支援https協定; 2、waf前是否有7層代理,根據自己真實場景來選擇,否則會造成waf防護異常; 3、如果應用本身有防火牆,需要添加waf ip段到白名單。
通過點選對應域名【防護配置】,進入WAF防護配置界面。
案例1、辦公區出口ip白名單
精準通路控制:辦公區白名單,公網出口IP為1.1.1.1的全部放行。同理如果是黑名單,則選擇對應的阻斷即可。
目前阿裡雲WAF比對字段支援比較全面,包括IP、URL、Refer、UA、Params、Cookie、Content-Type、XFF、Post-Body。
案例2、防止用接口被刷
通過CC安全防護 :URI:/api/login在一分鐘内,單一IP通路次數大于10次,則對此ip封禁30分鐘。(通路次數、封禁時長可以根據自身業務來調整)
CC防護對URI進行防護,通常可用于:防止短信接口、登入接口等被刷。
通過【總覽】進入Dashboard,來檢視所有應用業務狀态。包括但不限于:業務QPS、帶寬、業務異常監控、通路來源、慢接口、通路top5接口。可直覺地看出業務通路量,是否有異常。
【安全報表】
【全量日志】
檢視所有使用者請求日志定位問題,目前支援如下選項:
阿裡雲Web應用防火牆功能WAF産品總體已經完全可以滿足中小型企業安全防護要求,希望阿裡雲WAF産品飛快的疊代、完善。