腾讯云waf 设置分享

应等保（国家组织）要求，需要对公司网站以及主机安全 加强防护，故购买WAF

照着文档 https://cloud.tencent.com/document/product/627/11706 一般是没什么大问题的

下面是配置时候遇到的几个问题

1.域名配置里如果 ssl证书寄托在 腾讯云，直接  证书 选项下拉勾选 对应的证书即可

2.本地测试

修改本地解析

访问自己的网站 http://fanhua.cn/?test=alert(123)

不出意外 会出现（可以多找几个小伙伴帮忙测试）

3. dns 修改

如果没有购买 cdn 是需要另外自己 加解析的 和腾讯操作文档里的一样

如果有cdn 加速， 只需要修改 cdn 主源站里的源站地址即可：

4.说一下 waf 附带的功能：

AI 引擎模式： 开启拦截即可， 具体作用自己搜一下即可

自定义策略：本人设置的 是禁止公网 访问网站的后台 路径

CC防护设置：（没什么可说的，照着设置就好）

防篡改：这个有点坑，只能防护html 文件，也就是说如果公司首页是动态网页就 使用不了这个功能， 但是可以添加其他一些html文件

防信息泄露： 这个是 针对 银行卡和身份证 的，开启即可

5.  攻击详情

正式完成以后，会发现 公司根域名被扫描 还是不少的 。

下面就是当时本地测试时候  的攻击

后续的攻击真的不算少，乱七八糟一大堆攻击

Waf的意思是：应用防火墙世界建筑节防火墙应用程序防火墙。

网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF。也称为Web应用防护系统。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

应用功能：

1、审计设备

对于系统自身安全相关的下列事件产生审计记录：

（1）管理员登录后进行的操作行为；

（2） 对安全策略进行添加、修改、删除等操作行为；

（3） 对管理角色进行增加、删除和属性修改等操作行为；

（4） 对其他安全功能配置参数的设置或更新等行为。

2、访问控制设备

用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。

3、架构及网络设计工具

当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。

4、WEB应用加固工具

这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且 能够保护WEB应用编程错误导致的安全隐患。

需要指出的是，并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。

同时WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备从防火墙角度来看，WAF是一种防火墙的功能模块还有人把WAF看作“深度检测防火墙”的增强。（深度检测防火墙通常工作在的网络的第三层以及更高的层次，而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。）

---