WEB应用防火墙 WAF-准备阶段:网站业务梳理

时间：2024-04-10 14:02:03

WEB应用防火墙 WAF WAF云模式接入配置

网站业务梳理

建议您对所需接入WAF进行防护的网站业务情况进行全面梳理，帮助您了解当前业务状况和具体数据，为后续配置WAF的防护策略提供依据。

表1 网站业务梳理
梳理项	说明
网站和业务信息
网站/应用业务每天的流量峰值情况，包括Mbps、QPS	判断风险时间点，并且可作为WAF实例的业务带宽和业务QPS规格的选择依据。说明：如果您选择的QPS规格不足以支撑网站/应用业务每天的流量峰值，对超出当前WAF版本支持峰值的QPS，WAF将不再防护网站，QPS将直接透传到源站，影响网站/应用业务的防护。
业务的主要用户群体（例如，访问用户的主要来源地区）	判断非法攻击来源，后续可使用地理位置访问控制功能屏蔽非法来源地区。
业务是否为C/S架构	如果是C/S架构，进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端。
源站部署的具体位置	判断购买哪种实例region。
源站服务器的操作系统（Linux、Windows）和所使用的Web服务中间件（Apache、Nginx、IIS等）	判断源站是否存在访问控制策略，避免源站误拦截WAF回源IP转发的流量。
域名使用协议	判断所使用的通信协议WAF是否支持。说明：网站的“对外协议”、“源站协议” 必须要根据防护网站的实际情况配置正确，WAF才会正常防护您的网站。对外协议，即客户端（例如浏览器）请求访问网站的协议类型。可选择“HTTP”、“HTTPS”两种协议类型。源站协议，即WAF转发客户端（例如浏览器）请求的协议类型。可选择“HTTP”、“HTTPS”两种协议类型。
业务端口	判断需要防护的业务端口是否在WAF支持的端口范围内。标准端口 80：HTTP对外协议默认使用端口 443：HTTPS对外协议默认使用端口非标准端口 80/443以外的端口说明：如果防护域名使用非标准端口，请查看WAF支持哪些非标准端口？，确保购买的WAF版本支持防护该非标准端口。
业务是否使用TLS 1.0或弱加密套件	判断业务使用的加密套件是否支持。
业务在接入WAF前，是否已接入DDoS高防、CDN等服务。	接入WAF时，判断如何选择“是否已使用代理”，以及正确进行域名解析。
（针对HTTPS业务）客户端是否支持SNI标准	对于支持HTTPS协议的域名，接入WAF后，客户端和服务端都需要支持SNI标准。
业务交互过程	了解业务交互过程、业务处理逻辑，便于后续配置针对性防护策略。
活跃用户数量	便于后续在处理紧急攻击事件时，判断事件严重程度，以采取风险较低的应急处理措施。
业务及攻击情况
业务类型及业务特征（例如，游戏、棋牌、网站、App等业务）	便于在后续攻击防护过程中分析攻击特征。
单用户、单IP的入方向流量范围和连接情况	帮助后续判断是否可针对单个IP制定限速策略。
用户群体属性	例如，个人用户、网吧用户、或通过代理访问的用户。
业务是否遭受过大流量攻击、攻击类型和最大的攻击流量峰值	判断是否需要增加DDoS防护服务，并根据攻击流量峰值判断需要的DDoS防护规格。
业务是否遭受过CC攻击和最大的CC攻击峰值QPS	通过分析历史攻击特征，配置预防性策略。
业务是否已完成压力测试	评估源站服务器的请求处理性能，帮助后续判断是否因遭受攻击导致业务发生异常。