华为云Web应用防火墙waf入门实践_云淘科技

当您将防护网站接入Web应用防火墙(WAF)后,可以根据自身业务场景使用WAF的一系列常用实践。

表1 常用最佳实践

实践

描述

域名接入

单独使用WAF配置指导

网站没有接入WAF前,DNS直接解析到源站的IP。网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。

本文介绍通过DNS配置模式接入WAF时,如何在已添加网站配置后,配置域名解析,实现业务接入。

“DDoS高防+WAF”联动,提升网站全面防护能力

“DDoS高防+WAF”组合可以对华为云、非华为云或云下的域名进行联动防护,同时防御DDoS攻击和Web应用攻击,确保业务持续可靠运行。

防御DDoS攻击:NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击、HTTP Get Flood攻击等。
防御Web应用攻击:SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等。

“CDN+WAF”联动,提升网站防护能力和访问速度

“CDN+WAF”组合可以对华为云、非华为云或云下的域名进行联动防护,同时提升网站的响应速度和网站防护能力。

“独享WAF+7层ELB”联动,实现防护任意非标端口

如果您需要防护WAF支持的端口以外的非标端口,可参考本章节配置WAF的独享模式和7层ELB联动,实现任意端口业务的防护。

策略防护

Web基础防护功能最佳实践

从应用场景、防护策略、防护效果三个方面,介绍WAF对Web页面的攻击防护。

CC攻击防御最佳实践

基于Web应用防火墙实践编写,指导您在遭遇CC(Challenge Collapsar)攻击时,完成基于IP限速和基于Cookie字段识别的防护规则配置。

通过配置反爬虫防护策略阻止爬虫攻击

Web应用防火墙可以通过Robot检测(识别User-Agent)、网站反爬虫(检查浏览器合法性)和CC攻击防护(限制访问频率)三种反爬虫策略,帮您解决业务网站遭受的爬虫问题。

通过误报处理提升Web基础防护效果

网站接入WAF并开启Web基础防护后,WAF会根据您设置的Web基础防护规则检测、拦截命中规则的请求。

如果是业务的正常请求命中Web基础防护规则,被WAF误拦截,可能导致正常请求访问网站显示异常。此时,您可以通过误报处理使WAF不再拦截该请求,提升Web基础防护效果。

使用Postman工具模拟业务验证全局白名单规则

当防护网站成功接入WAF后,您可以使用接口测试工具模拟用户发起各类HTTP(S)请求,验证配置的WAF防护规则是否生效,检验防护效果。

本实践以Postman工具为例,说明如何验证全局白名单(原误报屏蔽)规则。

“WAF+HSS”联动,提升网页防篡改能力

主机安全HSS网页防篡改功能和Web应用防火墙“双剑合璧”,杜绝网页篡改事件发生。

Web漏洞防护

Java Spring框架远程代码执行高危漏洞

Spring是一款主流的Java EE轻量级开源框架,面向服务器端开发设计。Spring框架被曝出可导致RCE远程代码执行的漏洞,该漏洞攻击面较广,潜在危害严重,对JDK 9及以上版本皆有影响。

Apache Dubbo反序列化漏洞

2020年02月10日,华为云安全团队监测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,漏洞等级中危。当用户选择http协议进行通信时,攻击者可以通过发送POST请求的时候来执行一个反序列化的操作,由于没有任何安全校验,该漏洞可以造成反序列化执行任意代码。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

开源组件Fastjson拒绝服务漏洞

2019年09月03日,华为云安全团队检测到应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞,可构造恶意请求发给使用了Fastjson的服务器,使其内存和CPU耗尽,最终崩溃,造成用户业务瘫痪。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

开源组件Fastjson远程代码执行漏洞

2019年07月12日,华为云应急响应中心检测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。

Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)

2019年04月17日,华为云应急响应中心检测到国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)发布的Oracle WebLogic wls9-async组件安全公告。Oracle WebLogic wls9-async组件在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限,在未授权的情况下远程执行命令,CNVD对该漏洞的综合评级为“高危”。

LTS日志分析

通过LTS快速查询分析WAF访问日志

开启WAF全量日志功能后,您可以将攻击日志、访问日志记录到云日志服务(Log Tank Service,简称LTS)中。通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

通过LTS实时分析Spring core RCE漏洞的拦截情况

对WAF攻击日志开启LTS快速分析功能,通过Spring规则ID快速查询、分析被拦截的Spring core RCE漏洞日志。

通过LTS配置WAF规则的拦截告警

本实践对WAF攻击日志开启LTS快速分析功能,再配置告警规则,实现WAF规则拦截日志的分析及告警,实时洞察您的业务在WAF中的防护情况并作出决策分析。

独享引擎实例升级

独享引擎实例升级最佳实践

当您的防护网站以独享模式部署到WAF后,您可以在WAF管理控制台上通过升级操作,将WAF独享引擎实例升级到最新版本,以获取独享引擎实例最新防护性能。

为了提升业务的高可靠性,请您参照以下操作指导完成独享引擎实例升级操作。

TLS加密配置

通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全

HTTPS协议是由“TLS(Transport Layer Security,传输层安全性协议)+HTTP协议”构建的可进行加密传输、身份认证的网络协议。

当域名接入WAF时,如果客户端采用HTTPS协议请求访问服务器(即防护域名的“对外协议”配置为“HTTPS”),您可以通过为域名配置最低TLS版本和加密套件来确保网站安全。

源站安全保护实践

通过配置ECS/ELB访问控制策略保护源站安全

介绍源站服务器部署在华为云弹性云服务器(以下简称ECS)、或华为云弹性负载均衡(以下简称ELB)时:

如何判断源站是否存在泄漏风险?
如何配置访问控制策略保护源站安全?

获取客户端真实IP

获取客户端真实IP

介绍通过WAF直接获取真实IP的方法,以及不同类型的Web应用服务器(包括Tomcat、Apache、Nginx、IIS 6和IIS 7)如何进行相关设置,以获取客户端的真实IP。

安全与治理

Web网站基础安全防护

帮助企业网站业务流量进行多维度检测和防护,避免网站被黑客恶意攻击和入侵。

基于开源Modsecurity构建WAF

ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),它可以通过检查Web服务接收到的数据,以及发送出去的数据对网站进行安全防护。

该解决方案帮助您在华为云弹性云服务器上基于开源ModSecurity软件,一键部署实现Web应用防火墙(WAF)功能;配合Nginx的灵活与高效,有效的增强Web安全性。

等保二级解决方案

华为云等保二级解决方案适用于如下用户场景:

接到相关部门通知需要做安全整改。
新业务需要做安全防护。
业务遭受攻击导致企业效益受损,或无法正常办公。

WAF用来对业务流量进行多维度检测和防护。

等保合规安全解决方案

华为云依托自身安全能力与安全合规生态,为客户提供一站式的安全解决方案,帮助客户快速、低成本完成安全整改,轻松满足等保合规要求。

同意关联代理商云淘科技,购买华为云产品更优惠(QQ 78315851)

内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家