應用場景

攻擊者經常會采用SQL注入、XSS跨站、Webshell上傳、命令注入、后門隔離、非法文件請求、路徑穿越、常見應用漏洞攻擊等Web攻擊手段對網站進行攻擊。您的網站接入WAF后，可以通過配置對應的WAF漏洞防護集合規則來抵御這些Web應用類型攻擊。

如何配置防護策略

網站接入Web應用防火墻（邊緣云版）時，Web應用防火墻（邊緣云版）會根據您選擇的防護等級和開發語言等選項自動為您選擇合適的漏洞防護規則集合，Web應用防火墻（邊緣云版）根據不同的漏洞防護規則集合提供不同程度的Web防護效果。每種漏洞集合針對不同的場景進行Web防護，減少正常請求的誤報漏報，提高在您選擇的場景下的攔截非法請求的成功率。

默認提供七種防護規則集合：

• 全量防護規則：適用于重保等級高，且允許一定程度誤報的業務場景。該漏洞規則集防護包含全量規則，絕大部分規則處理動作為攔截（網站防護模式為攔截時則直接進行攔截）。
• 敏感防護規則集：適用于常規網站，且允許少量誤報的業務場景。該漏洞規則集防護等級較為嚴格，容易誤報的規則處理動作為告警，其他規則處理動作為攔截（網站防護模式為攔截時則直接進行攔截），存在一定誤報可能性。
• 寬松防護規則集：適用于常規網站，允許存在一定漏報的業務場景。該漏洞規則集防護等級較為寬松，關閉容易產生誤報的規則，可能存在一定漏報。
• PHP防護規則集：適用于后臺開發語言為PHP的網站業務。該漏洞規則集主要針對后臺語言為PHP進行制定，關閉其他容易產生誤報的規則。
• JAVA防護規則集：適用于后臺開發語言為JAVA的網站業務。該漏洞規則集主要針對后臺語言為JAVA進行制定，關閉其他容易產生誤報的規則。
• 非PHP和JAVA防護集：適用于后臺開發語言明確非PHP和JAVA網站業務。該漏洞規則集主要針對后臺語言為非PHP和JAVA進行制定，關閉其他容易產生誤報的規則。
• 下載類業務規則集：適用于下載類業務，即包含zip、rar、tar、gz等下載類后綴的業務網站。該漏洞規則集主要針對下載類業務進行設定規則，關閉其他容易產生誤報的規則。

關于域名規則開關的選項說明：

• 關閉：關閉規則防護，不會對Web攻擊進行有效攔截和記錄。
• 告警：Web應用防火墻（邊緣云版）不會攔截任何Web攻擊，僅會根據域名規則匹配到的Web攻擊記錄到攻擊日志。
• 攔截：Web應用防火墻（邊緣云版）會根據域名規則內容匹配，如果請求與域名規則匹配上會攔截請求，并記錄到攻擊日志中。

需要注意的是，Web應用防火墻（邊緣云版）防護引擎是否會根據防護規則對攻擊進行攔截，受防護總開關和域名規則開關的影響，僅在域名防護總開關與域名規則開關均為開啟時生效。當您需要Web應用防火墻（邊緣云版）根據防護規則及時攔截Web應用攻擊時，您需要在“安全基礎配置”頁面設置防護模式為開啟，處理動作修改為攔截，并且在“域名規則”頁面將域名規則開關設置成攔截。

防護模式和處理動作配置如下圖：

域名規則開關如下圖：

當您需要修改某個域名子規則的處理動作，例如域名子規則5111的處理動作由告警修改為攔截狀態時，可以通過提交工單，聯系天翼云安全專家進行處理，聯系方式見服務保障。除了控制全量域名規則的開關，您還可以根據您網站特性，選擇一些誤報率較高的域名規則進行關閉，減少誤報率，如下圖：

使用建議：

如果您對您的域名并不熟悉，不熟悉域名的帶寬、流量信息、遭受攻擊數量等情況時，建議您在域名接入配置時選擇監控模式（推薦模式），或者在網站防護模式中選擇告警模式，先觀察一段時間（推薦兩周）的流量、攻擊特征，收集到一定的域名信息特征和攻擊日志后結合業務場景選擇是否切換到攔截模式。

您可以分析根據以下情況進行調整：

• 如果攻擊日志中未發現正常的業務請求被誤攔截，攻擊日志內容中記錄的都是非法請求的情況下，建議您將域名總開關、域名規則開關均切換到攔截模式，開始對您的網站進行域名規則防護。
• 如果發現攻擊日志中存在正常業務流量日志內容，如果您有一定的網站安全基礎，您可以手動配置訪問控制、關閉誤攔截的域名規則等方式減少誤報，再切換至攔截模式。
• 如果發現攻擊日志中存在正常業務流量日志內容，您也可以聯系天翼云安全專家溝通具體的解決方案，聯系方式見服務保障。

域名的業務請求中應當注意內容：

• 在常規的業務請求中，盡量不要直接以原始SQL語句、代碼作為參數進行傳遞，可能會遭受到攻擊篡改和域名規則的誤攔截，比如/ap1/v1/update?content=select * from t where
• 在常規的業務請求中，要注意不要泄露服務器敏感信息(比如直接將含有數據庫連接的錯誤堆棧內容返回瀏覽器)。服務器敏感信息泄露可能會被攻擊者獲取用于入侵，同時有服務器敏感信息泄露風險的請求也很可能被WAF攔截。

對于互聯網中已經公布和尚未披露的0day漏洞，WAF會及時進行更新并發布在產品控制臺，您可登錄使用WAF產品進行防護，同時會在概覽頁最新消息內容中的威脅消息告知漏洞信息：

點擊概覽頁最新消息中的漏洞消息可以進入到消息中心查看漏洞詳情：

您可以查看您的網站是否會受到此漏洞的影響。如果受到漏洞的影響，可以聯系天翼云安全專家溝通具體的解決方案，聯系方式見服務保障。

如何查看防護數據報表

域名開啟防護總開關后，您可以在安全分析中的WAF攻擊報表中選擇一個或者多個域名查看選中的域名匹配域名規則攻擊內容。詳情見WAF安全報表。

WAF攻擊報表可以查詢連續不間斷的兩個月的數據，報表內提供了多種攻擊數據分析，包括：威脅分布、攻擊趨勢、攻擊地區等多種數據分析圖表，可以直觀的查看WAF的防護效果。您可以根據圖表內容來制定安全防護策略，維持域名的安全。

您也可以查詢具體詳細的日志內容，可以在日志管理中WAF攻擊日志查看詳細的攻擊記錄，可以根據攻擊類型、規則id、防護模式等多項組合進行篩選出攻擊日志記錄，點擊查看詳情可以查看當前選擇的攻擊日志的詳細內容。詳情見WAF攻擊日志。