腾讯云waf 设置分享

应等保（国家组织）要求，需要对公司网站以及主机安全 加强防护，故购买WAF

照着文档 https://cloud.tencent.com/document/product/627/11706 一般是没什么大问题的

下面是配置时候遇到的几个问题

1.域名配置里如果 ssl证书寄托在 腾讯云，直接  证书 选项下拉勾选 对应的证书即可

2.本地测试

修改本地解析

访问自己的网站 http://fanhua.cn/?test=alert(123)

不出意外 会出现（可以多找几个小伙伴帮忙测试）

3. dns 修改

如果没有购买 cdn 是需要另外自己 加解析的 和腾讯操作文档里的一样

如果有cdn 加速， 只需要修改 cdn 主源站里的源站地址即可：

4.说一下 waf 附带的功能：

AI 引擎模式： 开启拦截即可， 具体作用自己搜一下即可

自定义策略：本人设置的 是禁止公网 访问网站的后台 路径

CC防护设置：（没什么可说的，照着设置就好）

防篡改：这个有点坑，只能防护html 文件，也就是说如果公司首页是动态网页就 使用不了这个功能， 但是可以添加其他一些html文件

防信息泄露： 这个是 针对 银行卡和身份证 的，开启即可

5.  攻击详情

正式完成以后，会发现 公司根域名被扫描 还是不少的 。

下面就是当时本地测试时候  的攻击

后续的攻击真的不算少，乱七八糟一大堆攻击

模式一：透明代理模式（网桥代理模式）

原理：

1、当WEB客户端对服务器有连接请求时，TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话，将会话分成了两段，并基于桥模式进行转发。

2、从WEB客户端的角度看，WEB客户端仍然是直接访问服务器，感知不到WAF的存在；

3、从WAF工作转发原理看和透明网桥转发一样。

优势：

1、对网络的改动最小，可以实现零配置部署；

2、通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量，只是WAF自身功能失效；

3、无需配置映射关系

缺点:

1、网络的所有流量（HTTP和非HTTP）都经过WAF，对WAF的处理性能有一定要求；

2、采用该工作模式无法实现服务器负载均衡功能；

3、需配置映射关系

模式二：反向代理模式

原理：

1、将真实服务器的地址映射到反向代理服务器上，此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF，因此在WAF无需像其它模式（如透明和路由代理模式）一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。

2、当代理服务器收到HTTP的请求报文后，将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备，由WAF设备再将应答发送给客户端。

和透明代理的唯一区别是——

透明代理客户端发出的请求的目的地址就直接是后台的服务器，所以透明代理工作方式不需要在WAF上配置IP映射关系。

优势：

可以在WAF上同时实现负载均衡；

缺点：

1、需要对网络进行改动，配置相对复杂；

2、除了要配置WAF设备自身的地址和路由外，还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系；

3、另外如果原来服务器地址就是全局地址的话（没经过NAT转换），还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。

模式三：路由代理模式

与网桥透明代理的唯一区别是——

该代理工作在路由转发模式而非网桥模式，其它工作原理都一样。由于工作在路由（网关）模式因此需要为WAF的转发接口配置IP地址以及路由。

优势：

1、对网络进行简单改动，要设置该设备内网口和外网口的IP地址以及对应的路由；

2、可以直接作为WEB服务器的网关，但是存在单点故障问题；

缺点：

1、不支持服务器负载均衡功能；

2、存在单点故障

3、要负责转发所有的流量

模式四：端口镜像模式

原理：

1、只对HTTP流量进行监控和报警，不进行拦截阻断；

2、该模式需要使用交换机的端口镜像功能，也就是将交换机端口上的HTTP流量镜像一份给WAF；

3、对于WAF而言，流量只进不出。

优势：

1、不需要对网络进行改动；

2、它仅对流量进行分析和告警记录，并不会对恶意的流量进行拦截和阻断；

3、适合于刚开始部署WAF时，用于收集和了解服务器被访问和被攻击的信息，为后续在线部署提供优化配置参考。

4、对原有网络不会有任何影响。

缺点：

不会对恶意的流量进行拦截和阻断。

网站安全防护(WAF)一款通过对http请求的检测分析，为Web应用提供实时防护的安全产品。WAF是Web Application Firewall的缩写，WAF是云盾提供的一项安全服务，为云主机提供WEB安全防护服务，能够有效防黑客利用应用程序漏洞入侵渗透。

网站安全防护的主要功能：

漏洞攻击防护:网站安全防护目前可拦截常见的web漏洞攻击，例如SQL注入、XSS跨站、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。

虚拟补丁:网站安全防护可提供0Day，NDay漏洞防护。当发现有未公开的0Day漏洞，或者刚公开但未修复的NDay漏洞被利用时，WAF可以在发现漏洞到用户修复漏洞这段空档期对漏洞增加虚拟补丁，抵挡黑客的攻击，防护网站安全。

---