## WAF应用防火墙 本文介绍了乌云盾Web应用防火墙的Web攻击防护最佳实践,主要从应用场景、防护策略、防护效果、规则更新四个方面进行介绍。 ## 应用场景 Web应用防火墙(Web Application Firewall,简称WAF)主要提供针对Web攻击的防护,例如SQL注入、XSS、远程命令执行、Webshell上传等攻击。关于Web攻击的详细信息,请参见[OWASP 2017 Top 10](https://www.owasp.org/index.php/Top_10-2017_Top_10)。 **说明**主机层服务的安全问题(例如Redis、MySQL未授权访问等)导致的服务器入侵不在WAF的防护范围之内。 ## 防护策略 在将网站成功接入乌云盾防护后,登录,在管理\>网站配置页面选择已防护的网站,并单击防护配置,即可查看Web应用攻击防护的防护状态,如图所示。 ![](https://img.kancloud.cn/f9/6e/f96ebc64cc4444e12282cf3dce7404d4_2436x480.png) Web应用攻击防护功能开启后,并使用正常模式的防护规则策略。其中, * 状态:是否启用Web应用攻击防护模块。 * 模式:分为防护和预警两种模式。 * 防护模式表示当遭受Web攻击时,WAF自动拦截攻击请求,并在后台记录攻击日志。 * 预警模式表示当遭受Web攻击时,WAF不会拦截攻击请求,仅在后台记录攻击日志。 * 防护规则策略:分为宽松、正常、严格三种模式,仅在启用防护模式后生效。 * 宽松防护规则策略的防护粒度较粗,只拦截攻击特征比较明显的请求。 * 正常防护规则策略的防护粒度较宽松且防护规则策略精准,可以拦截常见的具有绕过特征的攻击请求。 * 严格防护规则策略的防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求。 使用建议: * 如果您对自己的业务流量特征还不完全清楚,建议先切换到预警模式进行观察。一般情况下,建议您观察一至两周,然后分析预警模式下的攻击日志。 * 如果没有发现任何正常业务流量被拦截的记录,则可以切换到防护模式启用拦截防护。 * 如果发现攻击日志中存在正常业务流量,可以联系乌云盾安全专家沟通具体的解决方案。 * PHPMyAdmin、开发技术类论坛接入WAF防护可能会存在误拦截的问题,建议联系乌云盾安全专家沟通具体的解决方案。 * 业务操作方面应注意以下问题: * 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JAVA SCRIPT代码。 * 正常业务的URL尽量不要使用一些特殊的关键字(UPDATE、SET等)作为路径,例如`www.example.com/abc/update/mod.php?set=1`。 * 如果业务中需要上传文件,不建议直接通过Web方式上传超过50M的文件,建议使用OSS或者其他方式上传。 ## 防护效果 开启WAF的Web应用攻击防护功能后,您可以网站管理->WAF记录,查看攻击的拦截日志,如图所示。 ![](https://img.kancloud.cn/10/76/1076855a87124c5cdf8cf4b222d3c481_2414x866.png) # 如果您发现WAF误拦截了正常业务流量,建议您联系乌云盾客服控制规则来放行指定IP的访问请求,或指定的URL路径加白名单。 ## 规则更新 对于互联网披露的已知漏洞和未披露的0day漏洞,乌云盾WAF将及时完成防护规则的更新,并发布防护公告。 ## 说明 Web攻击往往存在不止一种概念证明方法(Proof of Concept,简称PoC),乌云盾安全专家会对漏洞原理进行深度分析从而确保发布的Web防护规则覆盖已公开和未公开的各种漏洞利用方式。