Q:什么是Web应用防火墙?
Web应用防火墙(Web Application Firewall,简称:WAF), Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,承担了抵御常见的SQL注入、XSS、远程命令执行、目录遍历等攻击的作用。
Q:天翼云Web应用防火墙是付费产品吗?
A:天翼云云WAF作为天翼云安全业务的一个重要产品,作为付费的增值业务服务产品提供给天翼云客户。需要用户购买。
Q:天翼云云WAF支持网站HTTPS防护吗?
A:支持。
天翼云Web应用防火墙既支持http,又支持https,同时支持单个域名既有https又有http。
Q:天翼云云WAF需要关注的问题?
云WAF防护需要注意确保DNS牵引的正确性。
云WAF面向的客户为采用天翼云主机作为网站服务的客户,客户购买服务前提必须提供正确的网站域名。
Q:云WAF跟防火墙有什么区别?
A:防火墙是基于IP和端口做策略,无法针对应用层做策略。
因此防火墙无法解决Web应用的SQL注入、XSS、命令代码注入、恶意爬虫扫描等威胁。
Q:是否支持HTTPS网站的防护?
A:用户将ssl证书提交到ELB(弹性负载均衡服务)配置中,就可以实现对https网站的防护。
Q:Web应用防火墙对防护的站点有什么影响?
A:Web应用防火墙工作在代理模式,对http(s)的数据进行检测。不会影响网站服务器的稳定性、
不占用用户服务器的CPU或者内存资源。但对网站访问的请求会带来毫秒级的延迟,
并且存在较低概率的误拦截的情况(发生误拦截时,可通过误报策略进行设置解决)。
Q:购买了Web应用防火墙服务,网站就绝不会出现问题了吗?
A:就像杀毒软件不能100%查杀病毒,Web应用防火墙也不能保证防护所有的攻击,
但是部署了Web应用防火墙,可以大大降低Web站点被攻击的风险,
提高了黑客攻击的难度,避免业务直接面对安全威胁。
Q:如何对误报(误拦截)进行处理?
A:可以登录Web应用防火墙的控制台,在误报处理中,添加误报的URL信息和规则ID进行处理。
Q:Web应用防火墙可以和CDN同时使用吗?
A:只要您当前的CDN服务商支持通过CNAME的方式指定回源服务器,就可以同时使用。
存在的潜在问题:
对客户端访问流量拦截,web应用防火墙会返回一个拦截页面。而cdn缓存拦截页面后,会导致正常用户访问该资源时无论是否违规,得到的都是之前的拦截页面,从而影响正常访问。
经过cdn后,客户端的真实IP会被cdn替换掉,因此在业务出现问题时,排障会比较困难,定位问题点需时较长。
经过cdn后,真实的客户端会被cdn隐藏,web应用防火墙的部分功能将会失效,如基于源IP频率的检测、基于地理位置、IP情报库等功能无法使用。
Q:什么是CC攻击?
A:CC是一个应用层的DDoS, 是发生在TCP3次握手已经完成之后,所以发送的IP都是真实的。CC攻击的原理很简单,就是对一些消耗资源较大的应用页面不断地发起正常的请求,以达到消耗服务端资源的目的,在web应用中,查询数据库、读写硬盘文件的操作,相对都会消耗比较多的资源。一个简单的例子,一个小的网站,可能被搜索引擎、信息收集等系统的爬虫爬死,或者是扫描器扫死,这与应用层的DDoS攻击的结果很像
Q:为何需要添加白名单到系统内网的安全设备中
A:网站成功接入云web应用防火墙平台后,所有网站访问请求将先流转到防护平台进行监控,经过滤后再返回到源站服务器。由于源站服务器收到的所有请求都来自web应用防火墙云平台的IP,源站服务器上的安全软件(如安全狗、云锁)看来,这种行为很可疑,有可能触发屏蔽云web应用防火墙回源IP的操作。因此,在接入web应用防火墙平台前,您需要在源站服务器的安全软件上设置放行所有web应用防火墙平台的回源IP。
Q: 什么情况下产品会误拦截
A:1)网站代码不规范导致拦截
当网站代码不规范时,可能会因为触发防护策略而产生被拦截情况,如在请求的POST中包含“目录遍历”、“命令执行”、“onclick参数”、“div tag: style参数”等相关关键字,则会触发拦截,因此,规范的网站代码编写会大幅减少被拦截的概率。
2)网站接口数据传输规则导致拦截
网站存在接口的情况下,当产生调用时,因该行为非人工访问行为,可能会被web应用防火墙判定为非浏览器或程序化访问,从而产生拦截,此情况下需要将发起接口调用的源地址加白名单解决。
3)用户端行为疑似人工DDoS攻击导致拦截
用户频繁点击某一个URL,或者频繁下载同一个文件等行为,均可能会被判定为DDoS攻击,进而会产生拦截。此种情况下,须由用户确认是否正常操作后,临时加白名单(使用后删除白名单)。
4)国际流量整体拦截
Web应用防火墙支持针对IP地址的国家地理位置限制,当开启该限制后,国际流量将被阻断,只有国内流量才能通过。该策略主要用户客户的网站使用对象全部为国内的情况下,可以避免来自国际的各类攻击、渗透行为。