应用防护配置实践

2021-07-07 21:19:16 浏览数 (2)

背景

由于很多用户有Web应用防护的需求,但是对安全不是非常了解,购买WAF后没有很好的使用起来。本篇文章为这类用户提供一个详细的引导,让用户在初始化配置或者遇到攻击的情况,能够明白怎么配置可以最大限度降低损失。

说明

应用防护本质上是一种攻防对抗,除少数规则清洗的攻击外, 无法100%保证拦截所有恶意请求并且不影响业务,我们的配置大部分也在业务和安全上做权衡,在保证业务最小损失的情况最大限度防护住攻击。

配置指引

接入配置

接入配置主要是配置域名的基本信息

编号

主菜单

模块

配置项

配置项选择

说明

1

实例管理

域名接入-套餐信息

自动续费

开启

避免过期导致业务和防护受影响

2

弹性计费开关

开启

如果能保证业务增长前购买足够QPS包可不开启,否则建议开启

3

域名接入-添加域名

服务器配置

开启HTTP及HTTPS

1、所有网站开启HTTPS,并勾选"HTTPS强制跳转"2、回源建议HTTP(多层TLS加密并不能增加安全性,反而降低效率)3、为了用户访问方便,建议勾选HTTP(80)

4

代理情况

按实际选择

如果DNS解析到WAF VIP,选择否,其他情况经过转发的,一般选择是,否则后端服务获取不到客户端真实IP,WAF也无法根据IP来走防护

5

域名接入-域名列表

WAF开关

打开

紧急情况被拦截可以关闭

6

访问日志开关

打开

需要先购买日志包,访问日志打开方便排查,攻击日志默认开启并不需要购买日志包

这一步配置完成后会提供CNAME地址,可以ping WAF的CNAME地址,拿到VIP,绑定本地hosts测试

注意配置后端源站的安全组,尽量只放开WAF的回源IP,防止被绕过

防护配置-基础入侵防护

编号

主菜单

模块

配置项

配置项选择

说明

1

防护配置

基础设置

防护模式

拦截

极度敏感不能有任何误拦的系统,先开启观察模式,其他系统建议开启拦截模式

2

防护等级

正常

可以点开右侧规则管理,查看具体防护规则,正常防护等级可以拦截大部分

3

恶意文件检测

一般情况选择开启,如出现误拦截可关闭,比如需要允许访问/etc/passwd文件

4

AI智能防护

先开启观察一段时间后开启拦截

先开启观察模式,运行一段时间,在日志服务-攻击日志中筛选“AI引擎检出”的攻击,并分析是否有误报,如长时间(2周以上)没有误报,可改为拦截

5

拦截返回页面

根据业务配置

业务需要返回自己的拦截页面而非WAF统一页面,可以添加,否则默认

6

地域封禁

建议开启

大部分网站不需要国外访问,可开启地域封禁封禁国外访问,可避免大量境外攻击,如需要境外访问则不做配置

基础配置使用了WAF的默认规则引擎,不需要做过多配置,就能完成大部分常见的WEB漏洞入侵防御

如发现有特殊情况没有防御住,可配合自定义策略来做定制化防护,并提交工单到腾讯安全团队确认是否需要加入到默认规则。

CC攻击防护

由于CC攻击是模拟用户的正常请求,需要具体分析请求的特征才能做有效防御

默认规则可以配置根目录到300次/60秒,拦截模式选择观察,再根据攻击日志查看日常拦截率,在发生CC攻击时,就可以判断正常访问频率是多少,更容易配置个合理的阈值

注意:对于有秒杀业务的,可能会同一个出口的,建议使用Session防护,谨慎开启IP防护的拦截模式

如出现大量的攻击,需要分析访问日志的参数统计,主要包含UA、Cookie、URL、访问IP等,如能发现特征,使用自定义策略拦截该特征,无明显特征就只能根据访问频率来判断。

爬虫防护

很多网站出现恶意爬虫需要防护,可使用bot防护功能,建议配置如下

编号

主菜单

模块

配置项

配置项选择

说明

1

BOT行为管理

BOT防护配置-协议特征

BOT流量分析开关

开启

2

协议特征

根据业务调整

默认情况比较宽松,可根据实际情况做调整

3

IP情报特征

根据业务调整

根据业务是否允许IDC机器访问,开启对应IDC的策略,一般系统没有提供给其他系统调用的情况,可开启拦截

4

BOT防护配置-IP情报特征

IP类型

包含IDC

普通页面

5

BOT防护配置-自定义回话特征

BOT得分

大于 7

6

UA类型

勾选除浏览器、移动端、游戏活电视终端外的全部

7

预测标签

属于 全选

8

回话持续时间

大于 30

接口类访问

9

参数重复比

大于0.7

10

预测标签

属于 全选

11

敏感接口访问

配置汇总

https://docs.qq.com/sheet/DVXR4eWFqTFBuTENK?newPad=1&newPadType=clone&tab=BB08J2

本文只是提供一个基本的配置说明,攻防对抗过程中,需要根据业务模型,多维度调整配置,有需求欢迎提工单咨询腾讯云安全团队。

0 人点赞