跳转至

WAF配置最佳实践

配置效果

在没有启用WAF的情况,webshell可以正常执行并读取敏感信息。

nowaf

在开启WAF并启用拦截模式的情况下(默认只记录不拦截),敏感信息读取操作会被屏蔽,报 http 418 代码错误,同时可以启用攻击惩罚(known attack source,这个英文翻译其实有点迷惑,为什么不翻译成 attack punish),启用后可以进行最长1800秒的源IP拦截。

enable waf

配置过程

1.环境配置

这里安装一个LAMP环境,并在本地下载一个webshell,在没有启用WAF时可以正常登录执行敏感操作,比如查看用户信息、执行提权等敏感操作指令等。

1
2
3
4
yum -y install httpd php
systemctl start httpd
cd /var/www/html/
wget -O test.php https://raw.githubusercontent.com/xl7dev/WebShell/master/Php/Ani-Shell.php

2.启用WAF

waf modes

因为WAF有三种模式,而独享模式支持按需付费,所以这里选择独享模式配置。

purchase waf

等待几分钟待WAF创建完成后,点击如下按钮会发现有增加到ELB的操作,所以需要同时创建ELB:

add waf to elb

3.创建ELB并配置WAF

ELB创建比较简单,创建完成后配置一个监听器,不用填写后端服务器地址,后面在WAF界面可以自动增加到ELB里。

create elb

回到上一次增加ELB的地方,增加ELB,界面如下:

elb add waf

确认提交后会让填写后端服务器端口,这里要写的就是后端真实服务器的端口信息。

waf add website

代理模式主要应用于 Anti-DDos 和 CDN 场景,测试场景里不涉及,直接选择无代理模式。

策略配置

由于默认只记录不拦截的,所以还需要对策略进行配置:

Website Settings ---> Policy ---> Click the number ( 也可以直接点击左边栏的 Policies 菜单 )

在 Basic web protection 策略里选择模式为 block, 保护等级可以根据需要设置为 高、低、中。

攻击惩罚(known attack source):配置完成后,需要在web基础防护、黑名单、精准防护等功能里开启策略方可生效。

其他防护配置可以根据实际需要进行配置。

捐赠本站(Donate)

weixin_pay
如您感觉文章有用,可扫码捐赠本站!(If the article useful, you can scan the QR code to donate))