照着文档 https://cloud.tencent.com/document/product/627/11706 一般是没什么大问题的
下面是配置时候遇到的几个问题
1.域名配置里如果 ssl证书寄托在 腾讯云,直接 证书 选项下拉勾选 对应的证书即可
2.本地测试
修改本地解析
访问自己的网站 http://fanhua.cn/?test=alert(123)
不出意外 会出现(可以多找几个小伙伴帮忙测试)
3. dns 修改
如果没有购买 cdn 是需要另外自己 加解析的 和腾讯操作文档里的一样
如果有cdn 加速, 只需要修改 cdn 主源站里的源站地址即可:
4.说一下 waf 附带的功能:
AI 引擎模式: 开启拦截即可, 具体作用自己搜一下即可
自定义策略:本人设置的 是禁止公网 访问网站的后台 路径
CC防护设置:(没什么可说的,照着设置就好)
防篡改:这个有点坑,只能防护html 文件,也就是说如果公司首页是动态网页就 使用不了这个功能, 但是可以添加其他一些html文件
防信息泄露: 这个是 针对 银行卡和身份证 的,开启即可
5. 攻击详情
正式完成以后,会发现 公司根域名被扫描 还是不少的 。
下面就是当时本地测试时候 的攻击
后续的攻击真的不算少,乱七八糟一大堆攻击
Waf的意思是:应用防火墙世界建筑节防火墙应用程序防火墙。
网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF。也称为Web应用防护系统。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
应用功能:
1、审计设备
对于系统自身安全相关的下列事件产生审计记录:
(1)管理员登录后进行的操作行为;
(2) 对安全策略进行添加、修改、删除等操作行为;
(3) 对管理角色进行增加、删除和属性修改等操作行为;
(4) 对其他安全功能配置参数的设置或更新等行为。
2、访问控制设备
用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。
3、架构及网络设计工具
当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
4、WEB应用加固工具
这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且 能够保护WEB应用编程错误导致的安全隐患。
需要指出的是,并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。
同时WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备从防火墙角度来看,WAF是一种防火墙的功能模块还有人把WAF看作“深度检测防火墙”的增强。(深度检测防火墙通常工作在的网络的第三层以及更高的层次,而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。)
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)