应用防护配置实践

1

实例管理

域名接入-套餐信息

自动续费

开启

避免过期导致业务和防护受影响

2

弹性计费开关

开启

如果能保证业务增长前购买足够QPS包可不开启，否则建议开启

3

域名接入-添加域名

服务器配置

开启HTTP及HTTPS

1、所有网站开启HTTPS，并勾选"HTTPS强制跳转"2、回源建议HTTP（多层TLS加密并不能增加安全性，反而降低效率）3、为了用户访问方便，建议勾选HTTP(80)

4

代理情况

按实际选择

如果DNS解析到WAF VIP，选择否，其他情况经过转发的，一般选择是，否则后端服务获取不到客户端真实IP，WAF也无法根据IP来走防护

5

域名接入-域名列表

WAF开关

打开

紧急情况被拦截可以关闭

6

访问日志开关

打开

需要先购买日志包，访问日志打开方便排查，攻击日志默认开启并不需要购买日志包

1

防护配置

基础设置

防护模式

拦截

极度敏感不能有任何误拦的系统，先开启观察模式，其他系统建议开启拦截模式

2

防护等级

正常

可以点开右侧规则管理，查看具体防护规则，正常防护等级可以拦截大部分

3

恶意文件检测

是

一般情况选择开启，如出现误拦截可关闭，比如需要允许访问/etc/passwd文件

4

AI智能防护

先开启观察一段时间后开启拦截

先开启观察模式，运行一段时间，在日志服务-攻击日志中筛选“AI引擎检出”的攻击，并分析是否有误报，如长时间（2周以上）没有误报，可改为拦截

5

拦截返回页面

根据业务配置

业务需要返回自己的拦截页面而非WAF统一页面，可以添加，否则默认

6

地域封禁

建议开启

大部分网站不需要国外访问，可开启地域封禁封禁国外访问，可避免大量境外攻击，如需要境外访问则不做配置

1

BOT行为管理

BOT防护配置-协议特征

BOT流量分析开关

开启

2

协议特征

根据业务调整

默认情况比较宽松，可根据实际情况做调整

3

IP情报特征

根据业务调整

根据业务是否允许IDC机器访问，开启对应IDC的策略，一般系统没有提供给其他系统调用的情况，可开启拦截

4

BOT防护配置-IP情报特征

IP类型

包含IDC

普通页面

5

BOT防护配置-自定义回话特征

BOT得分

大于 7

6

UA类型

勾选除浏览器、移动端、游戏活电视终端外的全部

7

预测标签

属于 全选

8

回话持续时间

大于 30

接口类访问

9

参数重复比

大于0.7

10

预测标签

属于 全选

11

敏感接口访问

是