[防禦]通用Waf 介紹 - HackMD

<style> html, body, .ui-content { /* background-color: #f3f3fe; */ } .comment{ font-size:20px; font-weight: 400; color:#929292; } .title{ font-size:40px; font-weight: 500; } .h1{ font-size:25px; font-weight: 500; color:#fff; background-color:#000000; border-radius:5px; padding:8px } .h2{ font-size:20px; font-weight: 500; color:#d74242; } .red{ color:#d74242; font-size:24px; } .orange{ font-size:20px; color:#FA7F00; } .h3{ width:50px; font-size:18px; border-radius:3px; padding:3.5px; border: 1px solid black; } </style> <span class="comment">會議討論</span> <span class="title">AntCDN Waf設定</span> 目前，AntCDN WAF 的精準防禦策略是以商戶單位為基礎，並依據以下的標準配置進行實施。根據各商戶在 ELK 中的數據指標，我們將進行相應的參數調整及額外策略設置，以提升防禦效果。 <br> <span class="h1">公版模塊</span> <br> --- ### <span class="red">一.黑名單模塊</span> > **處理客戶指定IP黑名單規則** 針對客戶指定的IP黑名單規則進行處理，阻止不受信任或有潛在威脅的IP地址訪問平台，透過Waf黑名單管理機制比全局拉黑更可以根據客戶需求動態調整規則。 <p class="h3">設定</p> 1.設定　IP等於 IP值來做判斷 <p class="h3">處理</p> <span class="orange">**全局拉黑**</span> ![截圖 2024-07-02 下午4.21.23](https://hackmd.io/_uploads/HyxqdVZwR.png) --- ### <span class="red">二.白名單模塊</span> > **處理客戶指定IP白名單規則** 添加商戶辦公室IP來無視後續Waf。 <p class="h3">設定</p> 1.設定　IP等於 IP值來做判斷。 <p class="h3">處理</p> <span class="orange">**攔截(記錄日誌後放行)**</span> ![截圖 2024-07-04 上午10.43.51](https://hackmd.io/_uploads/ryfOnFQD0.png) --- ### <span class="red">三.防刷模塊</span> > **針對登錄頁面防刷訪問限制** 我們對登錄頁面實施了防刷訪問限制措施。此舉旨在防止惡意攻擊和非正常流量，保障用戶資料安全。 <p class="h3">設定</p> 1.使用**URL**針對登錄頁面後綴 2.**IP近一分鐘總請求數** 大於 150 <p class="h3">處理</p> <span class="orange">**全局拉黑**</span> ![截圖 2024-07-02 下午4.16.58](https://hackmd.io/_uploads/Hy8tw4bvC.png) --- ### <span class="red">四.地區限制模塊</span> > **針對境外地區做訪問限制** > 針對境外地區做訪問限制，旨在提高系統安全性和數據保護。此措施可有效防止來自高風險地區的潛在威脅，保障平台的穩定運行和用戶資料的安全性。根據客戶需求進行進一步調整和優化。 <p class="h3">設定</p> 1.國家區域　設定不等於或等於　國家地 <p class="h3">處理</p> <span class="orange">**依照用戶設定（彈性使用數字/滑動無感，硬性使用拉黑)**</span> ![截圖 2024-07-02 下午4.18.10](https://hackmd.io/_uploads/BJb0w4-vR.png) ### <span class="red">五.終端模版</span> > **針對超級終端域名作鑒權驗證** 針對超級終端域名進行鑒權驗證，確保訪問者的合法身份。 <p class="h3">設定</p> 1.請求端口=超級終端端口 <p class="h3">處理</p> <span class="orange">**可疑(API鑒權)**</span> ![截圖 2024-07-02 下午4.22.27](https://hackmd.io/_uploads/Hy3KtNZDA.png) --- ### <span class="red">五.接口請求阻擋模版</span> > **針對同URL訪問過高次數做限制阻擋** 針對同一URL訪問次數過高的情況進行限制與阻擋，以防止惡意攻擊和流量過載，並攔截異常高頻請求。 <p class="h3">設定</p> 1.IP近1分钟总请求　>　140 2.URL類型數 = 1 <p class="h3">處理</p> <span class="orange">**單節點拉黑(5分鐘)**</span>![截圖 2024-07-02 下午4.27.40](https://hackmd.io/_uploads/rkNzqVWvA.png) --- ### <span class="red">六.POST攻擊模版</span> > **針對post攻擊做限制阻擋** 檢測並攔截高頻POST請求，確保系統的穩定性和安全性。 <p class="h3">設定</p> 1.請求類型設定為Post 2.IP近一分鐘總請求數 > 120 3.URL類型數　= 1 <p class="h3">處理</p> <span class="orange">**人機驗證（數字)**</span>![截圖 2024-07-02 下午4.28.50](https://hackmd.io/_uploads/rybU54bwC.png) --- ### <span class="red">七.Cookie驗證模快</span> > **針對生成的随机Cookie做驗證檢查** 有效檢測並阻止異常及非真實人類用戶請求。 <p class="h3">設定</p> 1.IP近一分鐘總請求數　> 20 2.随机Cookie验证数 <　2 3.站点近一分鐘總請求數　> 500 <p class="h3">處理</p> <span class="orange">**人機驗證（滑動）**</span> ![截圖 2024-07-02 下午4.30.07](https://hackmd.io/_uploads/BJs5cVWPC.png) --- ### <span class="red">八.狗哥模版</span> **針對站點訪問數過高模擬攻擊** <p class="h3">設定</p>: 1.使用站點近1分鐘總請求大於值(目前設定70000) <p class="h3">處理</p> <span class="orange">**人機驗證（數字）**</span>![截圖 2024-07-02 下午4.30.51](https://hackmd.io/_uploads/Byjac4-wC.png) --- ### <span class="red">九.人機驗證模版</span> > **針對人機驗證失敗次數處理** 防止機器人攻擊和惡意行為，人機驗證失敗次數進行處理 <p class="h3">設定</p> 1.人機驗證失敗數　大於值 (目前設定20) <p class="h3">處理</p> <span class="orange">**全局拉黑**</span> ![截圖 2024-07-02 下午4.31.26](https://hackmd.io/_uploads/rJcJj4ZPR.png)