應用場景

攻擊者經常會采用SQL注入、XSS跨站、Webshell上傳、命令注入、后門隔離、非法文件請求、路徑穿越、常見應用漏洞攻擊等Web攻擊手段對網站進行攻擊。您的網站接入安全與加速服務后，可以通過配置對應的WAF漏洞防護集合規則來抵御這些Web應用類型攻擊。

如何配置防護策略

網站接入邊緣安全加速平臺后，安全與加速服務根據不同的業務場景內置了不同的規則模板，您可以根據業務情況選擇規則模板，并且設置規則模板的防護模式。每種規則模板針對不同的場景進行Web防護，減少正常請求的誤報漏報，提高在您選擇的場景下的攔截非法請求的成功率。

默認提供七種防護規則集合：

• 全量防護規則：適用于重保等級高，且允許一定程度誤報的業務場景。該漏洞規則集防護包含全量規則，絕大部分規則處理動作為攔截（網站防護模式為攔截時則直接進行攔截）。
• 敏感防護規則集：適用于常規網站，且允許少量誤報的業務場景。該漏洞規則集防護等級較為嚴格，容易誤報的規則處理動作為告警，其他規則處理動作為攔截（網站防護模式為攔截時則直接進行攔截），存在一定誤報可能性。
• 寬松防護規則集：適用于常規網站，允許存在一定漏報的業務場景。該漏洞規則集防護等級較為寬松，關閉容易產生誤報的規則，可能存在一定漏報。
• PHP防護規則集：適用于后臺開發語言為PHP的網站業務。該漏洞規則集主要針對后臺語言為PHP進行制定，關閉其他容易產生誤報的規則。
• JAVA防護規則集：適用于后臺開發語言為JAVA的網站業務。該漏洞規則集主要針對后臺語言為JAVA進行制定，關閉其他容易產生誤報的規則。
• 非PHP和JAVA防護集：適用于后臺開發語言明確非PHP和JAVA網站業務。該漏洞規則集主要針對后臺語言為非PHP和JAVA進行制定，關閉其他容易產生誤報的規則。
• 下載類業務規則集：適用于下載類業務，即包含zip、rar、tar、gz等下載類后綴的業務網站。該漏洞規則集主要針對下載類業務進行設定規則，關閉其他容易產生誤報的規則。

關于域名規則開關的選項說明：

• 關閉：關閉規則防護，不會對Web攻擊進行有效攔截和記錄。
• 告警：WAF不會攔截任何Web攻擊，僅會根據域名規則匹配到的Web攻擊記錄到攻擊日志。
• 攔截：WAF會根據域名規則內容匹配，如果請求與域名規則匹配上會攔截請求，并記錄到攻擊日志中。

除了控制全量域名規則的開關，您還可以根據您網站特性，選擇一些誤報率較高的域名規則進行關閉，減少誤報率，如下圖：

使用建議

如果您對您的域名并不是熟悉，不熟悉域名的帶寬、流量信息、遭受攻擊數量等情況時，建議您在域名接入配置時選擇監控模式（推薦模式），或者在網站防護模式中選擇告警模式，先觀察一段時間（推薦兩周）的流量、攻擊特征，收集到一定的域名信息特征和攻擊日志后結合業務場景選擇是否切換到攔截模式。

您可以分析根據以下情況進行調整：

• 如果攻擊日志中未發現正常的業務請求被誤攔截，攻擊日志內容中記錄的都是非法請求的情況下，建議您將域名規則開關切換到攔截模式，開始對您的網站進行域名規則防護。
• 如果發現攻擊日志中存在正常業務流量日志內容，如果您有一定的網站安全基礎，您可以手動配置訪問控制、關閉誤攔截的域名規則等方式減少誤報，再切換至攔截模式。
• 如果發現攻擊日志中存在正常業務流量日志內容，您也可以聯系天翼云安全專家溝通具體的解決方案，聯系方式見服務保障。

域名的業務請求中應當注意內容：

• 在常規的業務請求中，盡量不要直接以原始SQL語句、代碼作為參數進行傳遞，可能會遭受到攻擊篡改和域名規則的誤攔截，比如/ap1/v1/update?content=select * from t where。
• 在常規的業務請求中，要注意不要泄露服務器敏感信息(比如直接將含有數據庫連接的錯誤堆棧內容返回瀏覽器)。服務器敏感信息泄露可能會被攻擊者獲取用于入侵，同時有服務器敏感信息泄露風險的請求也很可能被安全引擎攔截。

您可以查看您的網站是否會受到此漏洞的影響。如果受到漏洞的影響，可以聯系天翼云安全專家溝通具體的解決方案，聯系方式見服務保障。

如何查看防護數據報表

域名開啟防護總開關后，您可以在安全報表中選擇一個或者多個域名查看選中的域名匹配域名規則攻擊內容。

安全報表分析可以查詢連續不間斷的一個月數據，報表內提供了多種攻擊數據分析，包括：攻擊類型分布、攻擊IP統計、攻擊趨勢、攻擊地區等多種數據分析圖表，可以直觀的查看防護效果。您可以根據圖表內容來制定安全防護策略，維持域名的安全。

您也可以查詢具體詳細的，可以根據攻擊類型、規則id、防護模式等多項組合進行篩選出攻擊日志記錄，點擊查看詳情可以查看當前選擇的攻擊日志的詳細內容。