应用防护配置实践

背景

由于很多用户有Web应用防护的需求，但是对安全不是非常了解，购买WAF后没有很好的使用起来。本篇文章为这类用户提供一个详细的引导，让用户在初始化配置或者遇到攻击的情况，能够明白怎么配置可以最大限度降低损失。

应用防护本质上是一种攻防对抗，除少数规则清洗的攻击外，无法100%保证拦截所有恶意请求并且不影响业务，我们的配置大部分也在业务和安全上做权衡，在保证业务最小损失的情况最大限度防护住攻击。

接入配置主要是配置域名的基本信息

编号	主菜单	模块	配置项	配置项选择	说明
1	实例管理	域名接入-套餐信息	自动续费	开启	避免过期导致业务和防护受影响
2		域名接入-套餐信息	弹性计费开关	开启	如果能保证业务增长前购买足够QPS包可不开启，否则建议开启
3		域名接入-添加域名	服务器配置	开启HTTP及HTTPS	1、所有网站开启HTTPS，并勾选"HTTPS强制跳转"2、回源建议HTTP（多层TLS加密并不能增加安全性，反而降低效率）3、为了用户访问方便，建议勾选HTTP(80)
4		域名接入-添加域名	代理情况	按实际选择	如果DNS解析到WAF VIP，选择否，其他情况经过转发的，一般选择是，否则后端服务获取不到客户端真实IP，WAF也无法根据IP来走防护
5		域名接入-域名列表	WAF开关	打开	紧急情况被拦截可以关闭
6		域名接入-域名列表	访问日志开关	打开	需要先购买日志包，访问日志打开方便排查，攻击日志默认开启并不需要购买日志包

这一步配置完成后会提供CNAME地址，可以ping WAF的CNAME地址，拿到VIP，绑定本地hosts测试

注意配置后端源站的安全组，尽量只放开WAF的回源IP，防止被绕过

编号	主菜单	模块	配置项	配置项选择	说明
1	防护配置	基础设置	防护模式	拦截	极度敏感不能有任何误拦的系统，先开启观察模式，其他系统建议开启拦截模式
2			防护等级	正常	可以点开右侧规则管理，查看具体防护规则，正常防护等级可以拦截大部分
3			恶意文件检测	是	一般情况选择开启，如出现误拦截可关闭，比如需要允许访问/etc/passwd文件
4			AI智能防护	先开启观察一段时间后开启拦截	先开启观察模式，运行一段时间，在日志服务-攻击日志中筛选“AI引擎检出”的攻击，并分析是否有误报，如长时间（2周以上）没有误报，可改为拦截
5			拦截返回页面	根据业务配置	业务需要返回自己的拦截页面而非WAF统一页面，可以添加，否则默认
6			地域封禁	建议开启	大部分网站不需要国外访问，可开启地域封禁封禁国外访问，可避免大量境外攻击，如需要境外访问则不做配置

基础配置使用了WAF的默认规则引擎，不需要做过多配置，就能完成大部分常见的WEB漏洞入侵防御

如发现有特殊情况没有防御住，可配合自定义策略来做定制化防护，并提交工单到腾讯安全团队确认是否需要加入到默认规则。

由于CC攻击是模拟用户的正常请求，需要具体分析请求的特征才能做有效防御

默认规则可以配置根目录到300次/60秒，拦截模式选择观察，再根据攻击日志查看日常拦截率，在发生CC攻击时，就可以判断正常访问频率是多少，更容易配置个合理的阈值

注意：对于有秒杀业务的，可能会同一个出口的，建议使用Session防护，谨慎开启IP防护的拦截模式

如出现大量的攻击，需要分析访问日志的参数统计，主要包含UA、Cookie、URL、访问IP等，如能发现特征，使用自定义策略拦截该特征，无明显特征就只能根据访问频率来判断。

很多网站出现恶意爬虫需要防护，可使用bot防护功能，建议配置如下

编号	主菜单	模块	配置项	配置项选择	说明
1	BOT行为管理	BOT防护配置-协议特征	BOT流量分析开关	开启
2			协议特征	根据业务调整	默认情况比较宽松，可根据实际情况做调整
3			IP情报特征	根据业务调整	根据业务是否允许IDC机器访问，开启对应IDC的策略，一般系统没有提供给其他系统调用的情况，可开启拦截
4		BOT防护配置-IP情报特征	IP类型	包含IDC	普通页面
5		BOT防护配置-自定义回话特征	BOT得分	大于 7
6			UA类型	勾选除浏览器、移动端、游戏活电视终端外的全部
7			预测标签	属于全选
8			回话持续时间	大于 30	接口类访问
9			参数重复比	大于0.7
10			预测标签	属于全选
11			敏感接口访问	是

https://docs.qq.com/sheet/DVXR4eWFqTFBuTENK?newPad=1&newPadType=clone&tab=BB08J2

本文只是提供一个基本的配置说明，攻防对抗过程中，需要根据业务模型，多维度调整配置，有需求欢迎提工单咨询腾讯云安全团队。

0 人点赞