照着文档 https://cloud.tencent.com/document/product/627/11706 一般是没什么大问题的
下面是配置时候遇到的几个问题
1.域名配置里如果 ssl证书寄托在 腾讯云,直接 证书 选项下拉勾选 对应的证书即可
2.本地测试
修改本地解析
访问自己的网站 http://fanhua.cn/?test=alert(123)
不出意外 会出现(可以多找几个小伙伴帮忙测试)
3. dns 修改
如果没有购买 cdn 是需要另外自己 加解析的 和腾讯 *** 作文档里的一样
如果有cdn 加速, 只需要修改 cdn 主源站里的源站地址即可:
4.说一下 waf 附带的功能:
AI 引擎模式: 开启拦截即可, 具体作用自己搜一下即可
自定义策略:本人设置的 是禁止公网 访问网站的后台 路径
CC防护设置:(没什么可说的,照着设置就好)
防篡改:这个有点坑,只能防护html 文件,也就是说如果公司首页是动态网页就 使用不了这个功能, 但是可以添加其他一些html文件
防信息泄露: 这个是 针对 yhk和身份z 的,开启即可
5. 攻击详情
正式完成以后,会发现 公司根域名被扫描 还是不少的 。
下面就是当时本地测试时候 的攻击
后续的攻击真的不算少,乱七八糟一大堆攻击
Web应用防护系统称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
审计设备
对于系统自身安全相关的下列事件产生审计记录:
(1)管理员登录后进行的 *** 作行为;
(2) 对安全策略进行添加、修改、删除等 *** 作行为;
(3) 对管理角色进行增加、删除和属性修改等 *** 作行为;
(4) 对其他安全功能配置参数的设置或更新等行为。
产生背景
当WEB应用越来越为丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。2007年,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)监测到中国大陆被篡改网站总数累积达61228个,比2006年增加了1.5倍。其中,中国大陆政府网站被篡改各月累计达4234个。
企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是在现实中,Web服务器和应用存在各种各样的安全问题,并随着黑客技术的进步也变得更加难以预防,因为这些问题是普通防火墙难以检测和阻断的,由此产生了WAF(Web应用防护系统)。
Web应用防护系统(Web Application Firewall,简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。
与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)