资讯

展开

T-Sec Web 应用防火墙实践接入

作者:快盘下载 人气:

什么是 Web 应用防火墙

腾讯云 Web 应用防火墙(Web Application Firewall,WAF)是一款基于 AI 的一站式 Web 业务运营风险防护方案。通过 AI+规则双引擎识别恶意流量,保护网站安全,提高 Web 站点的安全性和可靠性。通过 BOT 行为分析,防御恶意访问行为,保护网站核心业务安全和数据安全。 腾讯云 WAF 提供两种类型的云上 WAF,SaaS 型 WAF 和负载均衡型 WAF,两种 WAF 提供的安全防护能力基本相同,接入方式不同。

SaaS 型 WAF 通过 DNS 解析,将域名解析到 WAF 集群提供的 CNAME 地址上,通过 WAF 配置源站服务器 IP,实现域名恶意流量清洗和过滤,将正常流量回源到源站,保护网站安全。负载均衡型 WAF 通过和腾讯云负载均衡集群进行联动,将负载均衡的 HTTP/HTTPS 流量镜像到 WAF 集群,WAF 进行旁路威胁检测和清洗,将用户请求的可信状态同步到负载均衡集群进行威胁拦截或放行,实现网站安全防护。

腾讯云 WAF 可以有效防御 SQL 注入、XSS 跨站脚本、木马上传、非授权访问等 OWASP 攻击。此外还可以有效过滤 CC 攻击、提供 0day 漏洞补丁、防止网页篡改等,通过多种手段全方位保护网站的系统以及业务安全

相关文档

Web 应用防火墙产品概述

下面T-Sec Web 应用防火墙简称waf

那么我们就用腾讯云saas防火墙演示

T-Sec Web 应用防火墙实践接入

WAF产品优势

多种接入防护方式 AI+规则双引擎防护 BOT 流量管理 智能 CC 防护 IPv6 安全防护

购买waf需要考虑以下原因

1.服务器在什么地方?

2.服务区域在哪里?

3.网站是否备案并且接入腾讯云?(境外不需要,境内强制备案并且接入腾讯云)

4.网站业务大小

那么需要查看 套餐与版本说明 选择合适的套餐为网站保驾护航

支持的地区:腾讯云目前的对外机房的地区

以我服务器举列子

那么这次就用香港waf来说一下吧

那么我就用香港的轻量应用服务器作为服务器源站

轻量服务器控制台
SaaS 型 WAF 的实例地域和 Web 源站服务器的地域建议保持一致,可以有效减少业务时延。WAF 在没有添加防护域名的情况下,可联系我们进行地域更换,已经添加的防护域名的情况下,不支持更换地域

waf活动还是比较多的

Web应用防火墙 3折特惠体验 (tencent.com)

Web应用防火墙 特邀试用活动 (tencent.com)

等等

购买完成登录控制台

SAAS接入教程

网站

waf控制台

点击添加域名 证书这里推荐 https://www1.hi.cn/

是是由“公钥认证服务(重庆)有限公司”运营的数字证书品牌项目,HiCA 诞生于 2022 年 7 月。提供的免费SSL, 180天, +ACME +通配符 +多域名 +IP +.onion...等等

安装教程

https://www1.hi.cn/docs/getting-started/acme.sh-installation

curl https://get.acme.sh -s | sh -s

大陆地区服务器

curl https://gitcode.net/cert/cn-acme.sh/-/raw/master/install.sh?inline=false -s | sh -s

登录解析商控制台 以DNSPod为例

https

网站

登录服务器终端

Web 应用防火墙

显示OK就安装成功了

以dnspod举例执行签发命令

export DP_Id="youdnspodID"
export DP_Key="youdnspodkey"

acme.sh --issue 
    --dns dns_dp 
    -d *.youdomain 
    -d youdomain 
    --days 150 
    --server https://acme.hi.cn/directory

其他验证方法请访问

https://www1.hi.cn/docs/category/%E5%9F%9F%E5%90%8D%E9%AA%8C%E8%AF%81 官方文档查看

网站

Web 应用防火墙

签发成功 推荐HI.cn是因为 他们家泛解析是180天 是Sectigo的根 兼容性也比较强 还支持的windows7和windows xp的正常访问

如果有其他的 acme.sh 需要删除的哦 否则导致SSL无法签发

SSL 证书

配置SSL和ssl跳转 SSL跳转目前是302

网站

SSL 证书

waf支持泛解析哦,目前大部分ssl的泛解析就是90天的 HI.cn 是180天 可以在一定程度上减少频繁更换SSL的周期哦

SSL 证书

源站需要设置

WAF 通过反向代理的方式实现网站安全防护,用户访问 WAF 防护的域名时,会在 HTTP 头部字段中添加一条 X-Forwarded-For 记录,用于记录用户真实 IP,其记录格式为X-Forwarded-For:用户 IP。如果用户访问域名存在多级代理,WAF 将记录靠近 WAF 上一条的代理服务器 IP。例如:

场景一:用户>WAF>源站,X-Forwarded-For 记录为:X-Forwarded-For:用户真实 IP

场景二:用户>CDN > WAF>源站,X-Forwarded-For 记录为:X-Forwarded-For:用户真实 IP,X-Forwarded-For:CDN 回源地址

具体数字参考 https://cloud.tencent.com/document/product/627/42441

否则可能获取到WAF的ip导致源站日志可能出现不准确的问题

设置完成点击高级配置

Web 应用防火墙

高级设置

SSL 证书

TLS说明

根据自己需求设置

waf目前支持的加密套件

https

加密套件 那么推荐推荐通用 涉及登录,安全,支付等等建议安全型

比如说我没设置TLS1.0那么TLS1.0访问就会

TCP/IP

WAF拦截页面

更严格的PCI DSS合规标准 (myssl.com)

PCI安全标准委员会官方发表博文将于2018年6月30号(最晚),也就是本月月底禁用早期SSL/TLS,并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求,从而保护支付数据。

也就是说支持TLS v1.0或更早的加密协议将会判定为不合规

那么支持TLS1.0就会

SSL 证书

PCI 不合格

那么

根据需求设置好了之后

网站

接入完成

返回

查看CNAME记录 记住每一个域名的CNAME记录不一样!!!

Web 应用防火墙

查看cname记录

登录解析控制台

SSL 证书

域名解析

刷新waf控制台出现正常防护就是接入成功

那么我们访问看看

Web 应用防火墙

访问网站

SSL 证书

这就接入好了

可以去myssl.com查看 你的网站

https

ssl检测

自己设置可能提示 所以说用平台默认的就好,除非比较厉害的大佬就当我没说吧

设置好的就是这样(根据需求设置不一定是这样)

Web 应用防火墙

image.png

有问题的情况下

https

那么可能需要发工单获取进一步了解了

waf规则默认比较严格 可能出现误拦截

SSL 证书

网站

那么我们这样设置

网站

cc防护根据业务量决定

SSL 证书

还可以看看bot什么的

SSL 证书

还有贴心的攻击日志 更加方便我们查看和处理了 当用户被拦截可以通过uuid快速解决

Web 应用防火墙

攻击日志

然后去服务器安全组

SSL 证书

安全组

删除80 和443端口去waf控制台

https

获取WAFip

添加waf 回源ip

网站

记录IP

TCP/IP

waf放行

设置授权waf回源IP更加安全哦,访问服务器IP提示

SSL 证书

http ip

Web 应用防火墙

https ip

访问域名就正常,完美让业务服务器隐藏起来了,也有效的避免了查源等攻击行为 导致业务不可用!

SSL 证书

url

此外WAF和正常情况下防御一样需要购买DDOS高防包哦!

原创声明,本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 本站 删除。

加载全部内容

相关教程
猜你喜欢
用户评论
快盘暂不提供评论功能!