一、网站防火墙功能介绍
网站防火墙(WAF)功能可以有效地拦截跨站攻击,注入攻击,恶意采集,恶意篡改等黑客攻击形为。该功能为用户提供“拦截”、“观察”、“关闭”三种模式,“拦截”模式表示当防火墙识别到黑客攻击请求时,将会直接拦截当前的攻击请求(注:单次拦截并返回拦截页面)。“观察”模式表示当防火墙识别到攻击请求时,不执行拦截动作,但会在报表和日志中记录攻击行为。“关闭”模式表示不启用防火墙,防火墙不拦截也不记录攻击请求。
当防火墙为“拦截”或“观察”模式时,用户可点击“网站防火墙”右侧的【策略开关】-【修改】,根据网站实际情况选择相应策略的开或关,以及【策略白名单】-【添加】自定义添加策略白名单。详细功能配置可参考http://help.yunaq.com/faq/2775/index.html。
二、最佳实践
场景一:业务系统刚接入知道创宇云防御平台,且业务系统较重要,若出现误拦截将造成较大影响
此场景下,可在接入初期开启一周左右的观察模式,之后下载攻击日志或查看防护报表攻击详情,核对是否存在真实业务请求触发策略的情况,如没有出现说明业务系统和防火墙策略可完美结合,开启拦截模式进行防御即可。若出现与业务系统不兼容的情况,可能是业务系统存在不规范的代码导致触发拦截,也可能是个别策略不适用于此业务场景,可使用策略白名单开放该策略后再开启防火墙拦截模式。
场景二:业务系统存在APP、API接口、小程序或OA应用场景
此场景下知道创宇提供业务场景优化功能,建议根据业务系统类型进行策略优化,防御策略会更贴合业务,效果更佳。
场景三:日常防护场景
日常使用建议使用默认配置,即除【OWASP高级策略集】外其他防护策略集全部开启使用。
场景四:对安全级别要求极高的重点保障特殊时期
此场景下对安全级别要求高,可开启【OWASP高级策略集】,此策略集是非常严格的防护策略,如业务中有代码不规范、或请求行为不常见等情况极容易触发拦截,建议谨慎评估后使用,如需使用建议在非生产环境集中测试后再开启。