文档中心

云原生Web应用防火墙CWAF用户指南

最近更新时间：

5 管理维护

5.1 IAM权限管理

5.1.1 IAM 权限说明

简介
身份认证与访问管理服务（Identity and Access Management，IAM）提供用户身份认证、权限分配、访问控制等功能，通过创建多个 IAM 用户并授权不同资源权限策略，可实现不同 IAM 用户之间的权限隔离。
IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的IAM 用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。
IAM 权限策略是一组资源权限集，云原生 Web 应用防火墙 CWAF 支持“系统策略”和“自定义策略”。

系统策略
系统策略统一由系统创建和维护，不支持自定义修改策略权限范围。云原生 Web 应用防火墙 CWAF支持的系统策略如下：

自定义策略
自定义策略是由系统开放资源授权项（Action），支持自主创建、更新和删除策略。目前支持“可视化”和“脚本”两种配置方式创建自定义策略：
• 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。
• 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。
云原生 Web 应用防火墙 CWAF 支持的资源授权项如下：

5.1.2 配置流程

5.1.3 配置 IAM 权限

5.1.3.1 创建 IAM 用户
(1) 登录 CECSTACK 专属云控制台。
(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 在“用户管理”页面，单击“创建用户”，进入创建用户页面。
(4) 配置 IAM 用户账号信息和访问方式。
账号信息包括用户名、显示名、手机号、邮箱、备注等。
访问方式可选择控制台访问或编程访问。
一次最多可创建 10 个 IAM 用户，且同时创建的用户访问方式相同。

(5) 确认信息无误后，IAM 用户创建成功。
自定义密码：单击“确定”，提示用户创建成功，可查看新创建的用户列表。
自动生成密码：单击“确定”，弹出下载密码对话框，确认后下载用户密码至本地保存，且可查看新创建的用户列表。
5.1.3.2 创建自定义权限策略
任务简介
IAM 权限策略是一组资源权限集，云原生 Web 应用防火墙 CWAF 支持“系统策略”和“自定义策略”。

如果预置的云原生 Web 应用防火墙 CWAF 系统策略不满足使用要求，可通过创建自定义策略，添加授权项（Action），对云原生 Web 应用防火墙 CWAF 资源进行精细的权限管理。目前支持“可视化”和“脚本”两种配置方式创建自定义策略。
• 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。
• 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。
本小节主要介绍如何在管理控制台创建自定义策略。
可视化配置自定义策略
(1) 登录 CECSTACK 专属云控制台。
(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“权限策略管理”，进入权限策略管理页面。
(4) 单击“创建自定义权限策略”，进入创建自定义权限策略页面。
(5) 配置权限策略基本信息。
权限策略名称：自定义权限策略名称。
备注：自定义策略配置信息。
(6) 配置方式，选择“可视化配置”。
(7) 配置权限策略。
a. 配置权限策略效力，可选择“允许”或“拒绝”。
− 允许：表示该策略为允许操作效力。
− 拒绝：表示该策略为拒绝操作效力。
b. 配置云服务，选择“云原生 Web 应用防火墙 CWAF”。
c. 配置云服务操作，根据需求勾选操作权限。
d. 配置资源，可选择“全部资源”或“特定资源”。

e. （可选）配置请求条件。
此产品暂不支持添加请求条件。
(8) 确认信息无误后，单击“确定”，返回权限策略列表页面，自定义策略即创建完成。通过脚本配置自定义策略
(1) 登录 CECSTACK 专属云控制台。
鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(2) 单击“权限策略管理”，进入创建自定义权限策略页面。
(3) 单击“创建自定义权限策略”，弹出权限策略配置窗口。
(4) 配置权限策略基本信息。
权限策略名称：自定义权限策略名称。
备注：自定义策略配置信息。
(5) 配置方式，选择“脚本配置”。
(6) 配置权限策略。
您可直接编辑脚本；也可复制已有策略权限，并在基础上做修改。
(7) 确认信息无误后，单击“确定”，返回权限策略列表页面，自定义策略即创建完成。
5.1.3.3 授权单个 IAM 用户使用 CWAF
(1) 登录 CECSTACK 专属云控制台。
(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 在“用户管理”页面，单击目标 IAM 用户操作列的“添加权限”，弹出添加权限窗口。
(4) 在左侧列框，勾选云原生 Web 应用防火墙 CWAF 权限策略并单击，为用户组添加权限。
您也可以将已配置的权限移除。
权限策略列框包含该账号下全量系统策略和自定义策略。

(5) 单击“确定”，返回 IAM 用户列表页面。
5.1.3.4 授权 IAM 用户组使用 CWAF
(1) 登录 CECSTACK 专属云控制台。
(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“用户组”，进入用户组页面。
(4) 新建用户组。
a. 单击“创建用户组”，弹出创建用户组窗口。
b. 配置用户组名称，并可自定义描述信息。
c. 单击“确定”，返回用户组列表。
(5) 添加组成员。
a. 在目标用户组的操作列，单击“添加组成员”，弹出添加组成员窗口。
b. 在左侧列框，勾选一个或多个目标用户并单击，添加用户至用户组。
− 您也可以将已添加的用户从用户组移除。
− 用户列框包含该账号下已创建的全部 IAM 用户。
− 已被添加至其他用户组的用户置灰，不能被添加到新用户组。
c. 单击“确定”，返回用户组列表页面。
(6) 添加用户组权限。
a. 在目标用户组的操作列，单击“添加权限”，弹出添加权限窗口。
b. 在左侧列框，勾选云原生 Web 应用防火墙 CWAF 权限策略并单击，为用户组添加权限。
− 您也可以将已配置的权限从用户组移除。
− 权限策略列框包含该账号下全量系统策略和自定义策略。
c. 单击“确定”，返回用户组列表页面。

5.1.4 验证权限配置

(1) 使用 IAM 用户账号登录专属云控制台。
(2) 在服务列表中选择“云原生 Web 应用防火墙 CWAF”，进入云原生 Web 应用防火墙 CWAF管理页面。
(3) 对各功能菜单执行相应操作，确认权限是否生效。

5.2 威胁概览

5.2.1 概述

在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web应用防火墙 CWAF”后默认进入“威胁概览”界面。
“威胁概览”界面以图表的形式展示实例的安全状态、流量趋势和流量成分。

5.2.2 过滤展示

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“威胁概览”页面。
(2) 在“实例”右侧选框中选择实例，如果不选择则默认统计全部实例的数据。
(3) 选择统计的时间范围，单击可自定义时间范围。
“安全状态”、“流量趋势”和“流量成分”区域根据上述配置，自动刷新数据。

5.2.3 安全状态

“安全状态”显示实例在不同时间范围内的 Web 入侵防护数据、CC 安全防护数据、访问控制数据、BOT 防护数据。
• Web 入侵防护：Web 常用威胁攻击次数。
• CC 安全防护：CC 攻击次数。
• 访问控制：显示命中黑名单和白名单次数。
• BOT 防护：显示 BOT 防护次数。
单击数字，可跳转至“安全报表”界面查看详细信息。如单击“Web 入侵防护”上的数据，跳转至
“安全报表”界面的“Web 攻击分析”，您可查看攻击类型、攻击源、Web 攻击告警事件等详细信息。

5.2.4 流量趋势

“流量趋势”展示实例在设定的时间范围内的流量状态趋势，单击“请求次数”/“QPS”/“带宽”可切换查看这三类数据随时间的变化趋势；鼠标悬停在趋势图上可查看详细数据。
• 请求次数：显示全部请求次数、Web 入侵防护次数、CC 安全防护次数、访问控制命中次数、BOT 防护次数随时间的变化趋势。
• QPS：显示全部请求 QPS、Web 入侵防护 QPS、CC 安全防护 QPS、访问控制 QPS、BOT 防护 QPS 随时间的变化趋势。
• 带宽：显示出网带宽和入网带宽（单位：bps）随时间的变化趋势。

5.2.5 流量成分

“流量成分”分析区域展示实例在设定的时间范围内，访问 IP、URL 请求数、客户端、URL 平均响应时间 Top10 的成分。

5.3 安全报表

5.3.1 Web 攻击分析

5.3.1.1 简介
“Web 攻击分析”模块展示实例在指定的时间范围内的攻击类型分布、攻击来源统计和告警详情列表。
您可以在此处查看告警详情、导出告警数据、将告警加入白名单、跳转到防护配置界面设置防护规则。

5.3.1.2 过滤查看
任务简介
通过选择实例、设置统计的时间范围，可过滤筛选“Web 攻击分析”的数据。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。
(2) 在“实例”右侧选框中选择实例，如果不选择则默认统计全部实例的数据。
(3) 选择统计的时间范围，单击可自定义时间范围。
(4) 进入到“Web 攻击分析”页面查看详情信息。

5.3.1.3 导出告警报表
任务简介
将告警数据以.csv 格式导出到本地。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。
(2) （可选）根据实际需求，选择实例和时间范围。
(3) 选择 “Web 攻击分析”。
(4) 在“告警详情”区域，单击右侧的“导出”图标，即可导出当前界面的所有告警数据。

5.3.1.4 配置防护策略
任务简介
通过为指定的域名添加防护规则，系统可根据防护规则对 Web 应用攻击进行防护，并根据防护策略产生相应的告警日志。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。
(2) （可选）根据实际需求，选择实例和时间范围。
(3) 选择“Web 攻击分析”。
(4) 在“告警详情”区域，单击“域名”列的地址，可跳转至“防护设置”界面。

(5) 设置该网站的防护策略，防护策略设置见防护配置。
5.3.1.5 加入告警白名单
简介
告警白名单用于忽略告警，把告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警（当防护模式为检测时，加白后不再告警；当防护模式为拦截时，加白后不再拦截请求流量，也不
再告警）。
在“安全报表”页面处理告警事件时，如果告警为误报，您可以将告警加入告警白名单。告警加入白名单后，系统不会再对该事件进行告警，“威胁概览”页面也不会对该告警事件统计数据。
限制与指导
对某一告警事件执行加白操作时，系统默认将相同 IP 和 URL 的告警事件都加白。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。

(2) （可选）根据实际需求，选择实例和时间范围。
(3) 选择类型“Web 攻击分析”。
找到需要加白的告警事件，在操作列单击“加白”，弹出“白名单规则”确认对话框，确定即可。

在弹出的“白名单规则”中，系统默认填写相关的匹配字段和内容。

加白后，您可以进入到“防护设置 > 访问控制”中查看新增的白名单规则。

5.3.2 CC 攻击分析

5.3.2.1 简介
“CC 攻击分析”模块包括 Top10 攻击源、Top10 攻击路径、CC 流量趋势、告警详情列表。
您可以在此处导出告警数据、跳转到防护配置界面设置防护策略。

5.3.2.2 过滤查看
任务简介
通过选择实例、设置统计的时间范围，可过滤筛选“CC 攻击分析”统计的数据。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。
(2) 在“实例”右侧选框中选择实例，如果不选择则默认统计全部实例的数据。
(3) 选择统计的时间范围，单击可自定义时间范围。
(4) 进入到“CC 攻击分析”页面查看详情信息。

5.3.2.3 导出告警报表
任务简介
将告警数据以.csv 格式导出到本地。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。
(2) （可选）根据实际需求，选择实例和时间范围。
(3) 选择“CC 攻击分析”。
(4) 在“告警详情”区域，单击右侧的“导出”图标，即可导出当前界面的所有告警数据。

5.3.2.4 配置防护策略
任务简介
通过为指定的网站添加防护规则，系统可根据防护规则对 CC 攻击进行防护，并根据防护策略产生相应的告警日志。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。
(2) （可选）根据实际需求，选择实例和时间范围。
(3) 选择“CC 攻击分析”。
(4) 在“告警详情”区域，单击“域名”列的地址，可跳转至“防护设置”界面。

5.3.3 访问控制分析

5.3.3.1 简介
“访问控制分析”模块包括 Top10 黑名单 IP、Top10 白名单 IP、告警详情列表。
您可以在此处导出告警数据、跳转到防护配置界面设置防护策略。

5.3.3.2 过滤查看
任务简介
通过选择实例、设置统计的时间范围，可过滤筛选“访问控制分析”统计的数据。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。
(2) 在“实例”右侧选框中选择实例，如果不选择则默认统计全部实例的数据。
(3) 选择统计的时间范围，单击可自定义时间范围。
(4) 进入到“访问控制分析”页面查看详情信息。

5.3.3.3 导出告警报表
任务简介
将告警数据以.csv 格式导出到本地。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。
(2) （可选）根据实际需求，选择实例和时间范围。
(3) 选择“访问控制分析”。
(4) 在“告警详情”区域，单击右侧的“导出”图标，即可导出当前界面的所有告警数据。

5.3.3.4 配置防护策略
任务简介
通过为指定的网站添加防护规则，系统可根据防护规则对访问 IP 执行相应操作，对于符合白名单的IP 不进行防护，对符合黑名单的 IP 进行拦截并产生告警日志。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。
(2) （可选）根据实际需求，选择实例和时间范围。
(3) 选择“访问控制分析”。
(4) 在“告警详情”区域，单击“域名”列的地址，可跳转至“防护设置”界面。

(5) 设置该网站的防护策略，防护策略设置见防护配置。

5.3.4 BOT 行为分析

5.3.4.1 简介

“BOT 行为分析”模块包括 Top10 攻击源 IP、场景分布、BOT 行为流量趋势、告警详情列表；展示了网站业务的爬虫请求监控数据和防爬规则的防护效果数据。
您可以在此处导出告警数据、跳转到防护配置界面设置防护策略。

5.3.4.2 过滤查看
任务简介
通过选择实例、设置统计的时间范围，可过滤筛选“BOT 行为分析”统计的数据。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。
(2) 在“实例”右侧选框中选择实例，如果不选择则默认统计全部实例的数据。
(3) 选择统计的时间范围，单击可自定义时间范围。
(4) 进入到“BOT 行为分析”页面查看详情信息。

5.3.4.3 导出告警报表
任务简介
将告警数据以.csv 格式导出到本地。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。
(2) （可选）根据实际需求，选择实例和时间范围。
(3) 选择“BOT 行为分析”。
(4) 在“告警详情”区域，单击右侧的“导出”图标，即可导出当前界面的所有告警数据。

5.3.4.4 配置防护策略
任务简介
通过为指定的网站添加防护规则，系统可根据防护规则对请求进行人机识别，对爬虫、扫描器等工具发起的流量进行拦截，正常流量验证通过后正常访问。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“安全报表”页面。
(2) （可选）根据实际需求，选择实例和时间范围。
(3) 选择“BOT 行为分析”。
(4) 在“告警详情”区域，单击“域名”列的地址或“场景名称”列的场景名称，可跳转至“防护设置”界面。

5.4 网站设置

5.4.1 概述

“网站设置”页面以列表形式列举所有添加成功的网站信息，包括域名、接入模式、防护状态、工作模式等，您可在此页面修改网站的工作模式、添加网站、并为网站添加防护策略。
• 开通企业版时，防护状态显示“Web 防护”、“CC 防护”、“访问控制”和“BOT 管理”当前的防护状态。

• 开通基础版时，防护状态显示“Web 防护”、“CC 防护”、“访问控制”当前的防护状态。

5.4.2 添加网站

“添加网站”指添加防护域名信息。
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“网站设置”页面。
(2) 单击右上角的“添加网站”按钮，弹出“添加网站”对话框。

(3) 设置负载均衡名称、防护域名等信息后，单击“确定”即可添加成功。
添加成功的网站显示在“网站设置”列表中，您可对其执行删除、查看、防护配置等操作。

5.4.3 删除网站

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“网站设置”页面。
(2) 选择要删除的网站，单击所在行右侧的“删除”，在弹出的删除确认对话框中确定即可。

5.4.4 查看网站配置

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”，进入“网站设置”页面。
(2) 在列表处单击域名，即可查看该网站的 SLB 实例、端口、服务器地址等信息。
鼠标悬停在域名上，右侧出现“复制”图标，您可以直接复制域名在浏览器中打开。

5.5 防护配置

5.5.1 概述

“防护设置”指为指定的网站添加防护策略。系统根据防护规则对 Web 应用攻击、CC 攻击、访问IP 和网页爬虫等进行防护，并根据防护策略产生相应的告警日志。

5.5.2 配置流程

5.5.3 进入防护配置页面

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 进入“防护设置”页面。
您可以通过 2 种方式进入“防护设置”页面：
方式 1：在“安全报表”界面的“告警详情”区域，单击域名，即可跳转至“防护设置”页面。
方式 2：在“网站设置”界面，找到需要配置防护策略的域名，单击所在行右侧的“防护设置”即可。

5.5.4 配置 Web 应用攻击防护

5.5.4.1 简介
网站在接入 CWAF 后，默认开启 Web 应用攻击防护。
系统内置 Web 应用攻击防护规则库，也支持用户自定义规则，可自动防御 SQL 注入、XSS 跨站、webshell 上传、命令注入、后门隔离、非法 HTTP 请求、路径穿越及常见应用漏洞攻击等。
5.5.4.2 配置说明
Web 应用攻击防护页面如下所示：

全局开启
单击开关，可开启/关闭 Web 应用攻击防护功能。
2. 防护模式
发现攻击时，对攻击请求执行的操作。
• 检测模式：只记录日志，不阻断攻击请求。
• 拦截模式：发现攻击后，直接阻断攻击请求，并记录日志。
3. 策略等级
即报文请求匹配的规则等级。

4. 拦截返回页
当“防护模式”选择为“拦截模式”，在阻断攻击请求时，返回的拦截页面，支持返回默认页面和自定义界面，请选择拦截返回页面：

自定义拦截返回页面
单击“新建自定义页面”按钮，弹出“新建自定义页面”对话框，设置参数，单击“确定”，“拦
截返回页面”列表显示创建成功的页面信息，可供设置拦截返回页时使用。

5. 自定义防护规则（可选）
单击“新建规则”，弹出“新建自定义规则”对话框，设置规则参数，单击“确定”后创建成功；
创建成功的检测规则显示在自定义检测规则列表中。

5.5.4.3 拦截页面说明
在配置了 Web 防护后，当页面遭受了 Web 攻击后，拦截页面显示事件 ID（EventID），ID 唯一。

复制 EventID 号，在“安全报表 > Web 攻击分析”的“告警详情”区域，可过滤查找该事件告警详情信息。

5.5.5 配置 CC 攻击防护

5.5.5.1 简介
添加 CC 防护规则，可以帮助用户防护针对页面请求的 CC 攻击。
5.5.5.2 配置说明
CC 攻击防护页面如下所示：

全局开启
单击开关，可开启/关闭 CC 攻击防护功能。
2. 防护模式
发现攻击时，对攻击请求执行的操作。
• 正常：基于单个 IP 的请求统计 CC。
• 攻击应急：基于防护域名统计 CC。
3. 防护规则
系统预置 CC 攻击检测规则，您也可以自定义检测规则。
自定义规则（可选）

单击“新建规则”，弹出“新建自定义规则”对话框，设置规则参数，单击“确定”后创建成功；
创建成功的检测规则显示在自定义检测规则列表中。

5.5.6 配置访问控制

5.5.6.1 简介
访问控制主要针对 HTTP 的访问控制，通过配置面向对象的通用包过滤规则实现控制 Web 以外的访问行为。
5.5.6.2 配置说明
您可以在“防护设置 > 访问控制”页面直接创建白名单规则，也可以在“安全报表 > Web 攻击分析”的告警详情区域，通过“加白”操作创建白名单规则。
访问控制页面如下所示：

白名单
白名单规则一般用于放行因触发规则被误拦截的特殊业务请求。
全局开启
单击开关，可开启/关闭白名单规则。
新建白名单规则
(1) 在“白名单”区域，单击“新建”，弹出“白名单规则”对话框。

(2) 设置参数。
规则名称：自定义。
匹配条件。

(3) （可选）如果您想添加多个匹配条件，单击左下方的即可。
添加多个条件时，条件之间为“且”的关系，及必须同时满足多个条件，系统才认为是白名单；当您想要删除不需要的匹配条件时，单击该字段右侧的即可。
(4) 设置完成后单击“确定”，添加成功。
2. 黑名单
全局开启
单击开关，可开启/关闭黑名单规则。
新建黑名单规则
(1) 在“黑名单”区域，单击“新建”，弹出“黑名单规则”对话框。

(2) 设置参数。
规则名称：自定义。
规则类型和匹配内容。

(3) 设置完成后单击“确定”，添加成功。

5.5.7 配置 BOT 防护策略

5.5.7.1 简介
CWAF 提供防爬场景化和扫描器场景配置功能，您可以基于实际业务场景自定义 BOT 对抗策略，对 BOT 行为执行自动处置，从而更有针对性地对业务进行 BOT 防护。
5.5.7.2 前提条件
BOT 防护功能需开通企业版 CWAF 方可正常使用。
5.5.7.3 限制与指导
每个域名最多可添加 20 个场景化配置策略。
5.5.7.4 添加 BOT 防护策略
(1) 参见进入防护配置页面，进入“BOT 管理”页面。
首次配置时，BOT 管理配置页面如下所示：

已配置了 BOT 管理策略的页面：

(2) 单击“添加防护策略”，弹出“添加防护策略”对话框。

(3) 设置参数。

(4) 单击“确定”，添加成功。
(5) （可选）您可在“BOT 管理”页面，单击“添加防护策略”，重复以上步骤，添加多个场景的 BOT 防护策略。
每个实例内，最多可添加 20 个场景防护策略。
5.5.7.5 开启/关闭 BOT 管理
在“BOT 管理”配置页面单击，将 BOT 管理置为 ON 时，表示开启 BOT 管理，此时“网站设置”页面的防护状态列，BOT 管理显示为防护中；将 BOT 管理置为 OFF 时，表示关闭 BOT 管理，此时“网站设置”页面的防护状态列，BOT 管理显示为关闭。

5.5.7.6 管理 BOT 防护策略
进入“BOT 管理”页面，您可以对单个 BOT 防护策略执行启用/禁用、编辑、删除、查看等操作。

5.5.8 同步策略

任务简介
“同步策略”即同时下发 Web 应用攻击防护策略、CC 攻击防护策略、访问控制策略、BOT 防护策略。
配置完 Web 应用攻击防护策略、CC 攻击防护策略、访问控制策略、BOT 防护策略后，您需要执行“同步策略”来下发策略。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 进入“防护设置”页面。您可以通过 2 种方式进入“防护设置”页面：
方式 1：在“安全报表”界面的“告警详情”区域，单击域名，即可跳转至“防护设置”页面。
方式 2：在“网站设置”界面，找到需要配置防护策略的域名，单击所在行右侧的“防护设置”即可。
(3) 单击“同步策略”，Web 应用攻击防护策略、CC 攻击防护策略、访问控制策略、BOT 防护策略下发成功。

5.6 API安全

5.6.1 概述

API 安全防护支持 API 资产管理，可全量发现东西向 API、南北向 API、影子API，识别访问流量中的漏洞攻击行为、恶意通讯行为；可通过敏感数据识别功能，对敏感数据暴露过多的 API 接口告警，防止隐私数据泄露；还可进行异常行为分析并统计展示。中国电子云 API 防护功能可存储/检测所有 API 活动数据集和历史数据集，数据覆盖广可使用户高度精确地发现其他方案所忽略的威胁点，从而更好的保障应用安全。

5.6.2 业务及配置流程

(1) 开通 CGW 实例，在 CGW 中创建服务，配置后端 Web 服务，发布服务；创建 API 并发布。
(2) 开通 CWAF 实例，开通时请选择步骤（1）中购买的“CGW 实例”。
(3) CWAF 从 CGW 中获取 API 接口列表。
(4) （可选）在 CWAF 中配置敏感词和敏感级别等信息。
(5) 当访问中含攻击行为、敏感数据等时，触发告警机制，CWAF 识别存在漏洞攻击和异常行为的 API 接口，统计数据并展示在 CWAF Web 页面中。
(6) 在 CWAF 中查看 API 安全事件统计信息、API 敏感数据统计信息，查看告警详情，并可进行告警处置。

5.6.3 限制与使用

5.6.4 前提条件

您必须先开通 CGW 实例，在 CGW 中创建服务，配置后端 Web 服务，发布服务以及创建 API 并发布；否则在开通 CWAF 实例时，无法绑定 CGW 导致无法使用 API 安全功能。
开通 CGW 实例及相关配置的详细操作可参见《API 网关 CGW 用户指南》，本节简单介绍开通和配置流程。
1. 开通 CGW。
您可以通过两种方式开通 CGW：
• 方式 1：进入“产品与服务 > API 网关 CGW”，在“实例列表”界面中单击“开通实例”。
• 方式 2：在开通 CWAF 页面，选择企业版后，单击“创建 CGW”，进入到“API 网关CGW”开通页面直接开通。
2. 创建服务、配置后端并发布服务。
(1) CGW 开通成功后，单击 CGW 实例右侧的“访问”进入到 CGW 实例详情页面。

(2) 进入“服务管理”页面，单击“创建”，创建服务。

(3) 服务创建成功后，单击该服务操作列的“更多 > 后端配置”，添加后端 Web 服务。

(4) 在“服务后端列表”页面，单击“启用”，启用后端服务。
(5) 在“服务列表”页面单击该服务操作列的“发布”，发布该服务。
3. 创建 API 管理，并启用。
(1) 进入“API 管理 > API 管理”页面，通过导入 swagger 或创建的方式创建 API 管理。

(2) API 创建成功后，单击“启用”。
4. 在开通 CWAF 时绑定 CGW 实例。
在开通 CWAF 界面，选择企业版后，在“CGW 实例”处选择所创建的 CGW。

5.6.5 敏感数据管理

5.6.5.1 概述
CWAF 支持对敏感数据进行分类、分级管理，支持用户自定义敏感数据；CWAF 可通过内置和用户自定义的敏感数据级别、分类，构建精准的敏感数据识别能力；当访问中含预置或自定义的敏感数据时，触发告警机制，系统分析存在敏感数据的 API 资产、敏感数据类别分布等并将信息展示在CWAF 的“API 安全 > API 敏感数据”页面中。
5.6.5.2 敏感数据分级管理
简介
CWAF 可基于内置和自定义两种方式，对敏感数据进行分级管理；CWAF 在出厂时预置 4 个级别的分级策略，对应关系：
• S1（级别 1）：机密
• S2（级别 2）：敏感
• S3（级别 3）：内部
• S4（级别 4）：常规
创建敏感数据分级
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全 > 分级管理”，进入“分级管理”页面。
(3) 单击右侧“新建自定义分级”，弹出“新建数据分级”对话框。

(4) 设置级别名称，单击“确定”，创建成功。
创建成功的敏感数据级别显示在“分级管理”列表中。

查询敏感数据分级
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生Web 应用防火墙 CWAF”。
(2) 单击“API 安全 > 分级管理”，进入“分级管理”页面。
(3) 在搜索框中输入分级名称即可。

修改敏感数据分级
您可根据需要修改自定义的敏感数据分级名称。
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生Web 应用防火墙 CWAF”。
(2) 单击“API 安全 > 分级管理”，进入“分级管理”页面。
(3) 选择自定义敏感数据分级，单击右侧的“编辑”，即可修改自定义敏感数据分级的名称。
系统预置的敏感分级不允许编辑。

删除敏感数据分级
您可删除不需要的敏感数据分级。
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生Web 应用防火墙 CWAF”。
(2) 单击“API 安全 > 分级管理”，进入“分级管理”页面。
(3) 选择自定义敏感数据分级，单击右侧的“删除”即可。

系统预置的敏感分级不允许删除。

5.6.5.3 敏感数据分类管理
简介
CWAF 基于 AI 算法和丰富的知识库，可对接入的敏感数据进行分类管理。系统内置敏感数据分类，支持自定义敏感数据分类。
内置的敏感数据分类和敏感词
CWAF 内置部分敏感数据类别，您可以在“API 安全 > 分类管理”页面查看预置的敏感数据类别。

内置的敏感数据分类和敏感词有：

创建敏感数据分类
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全 > 分类管理”，进入“分类管理”页面。
(3) 单击“新建分类”，弹出“新建数据分类”对话框。

(4) 设置参数，单击“确定”，创建成功。
(5) 单击父级分类右侧的，在下拉选项中选择“添加子分类”，可在此分类下添加子分类。

修改敏感数据分类
您可根据需要修改自定义的分类名称和描述信息。
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生Web 应用防火墙 CWAF”。
(2) 单击“API 安全 > 分类管理”，进入“分类管理”页面。
(3) 在左侧选择目标分类，单击，在下拉选项中选择“编辑分类”，在弹出的对话框中修改数据分类名称和描述信息。
删除敏感数据分类
您可删除不需要的敏感数据分类。
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生Web 应用防火墙 CWAF”。
(2) 单击“API 安全 > 分类管理”，进入“分类管理”页面。
(3) 在左侧选择目标分类，单击，在下拉选项中选择“删除分类”，在弹出的对话框中确认即可。
新建敏感数据
您可根据应用场景自定义敏感数据。
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生Web 应用防火墙 CWAF”。
(2) 单击“API 安全 > 分类管理”，进入“分类管理”页面。
(3) 单击右侧“新建敏感数据”，弹出“新建敏感数据”对话框。
(4) 设置以下参数，单击“确定”，创建成功；创建成功的敏感数据显示在“敏感数据定义”列表中。

查询敏感数据
您可通过敏感数据关键字、策略状态、数据分级快速查询敏感数据。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全 > 分类管理”，进入“分类管理”页面。
(3) 在搜索栏查找关键信息或通过过滤漏斗，可过滤查找敏感数据。

修改敏感数据
您可修改敏感数据的分级、分类和描述信息。

(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全 > 分类管理”，进入“分类管理”页面。
(3) 选择自定义敏感数据，单击右侧的“编辑”，在弹出的对话框中修改即可。
删除敏感数据
您可删除不需要的敏感数据。

(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全 > 分类管理”，进入“分类管理”页面。
(3) 选择自定义敏感数据，单击右侧的“删除”即可。

5.6.6 查看 API 今日风险状态

当访问中含攻击行为、敏感数据等时，触发告警机制，CWAF 识别存在漏洞攻击和异常行为的 API接口，统计数据并展示在 API 安全页面中。
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全”，进入“API 安全”页面。
(3) 在“今日风险”区域，展示今日存在风险的 API 接口数量和 API 安全事件数量。

5.6.7 API 安全事件分析

5.6.7.1 查看 API 安全事件统计分析结果
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全”，进入“API 安全”页面。
(3) 在“API 安全事件”页签下，选择统计时间，页面刷新展示该时间范围内的攻击类型分布情况、存在风险的 API 资产 TOP 10 和详细的告警列表。

5.6.7.2 查看告警详情和建议
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全”，进入“API 安全”页面。
(3) （可选）在“API 安全事件”页签下，选择统计时间或统计类型，页面刷新展示。
(4) 在“告警详情”区域，单击要查看的目标告警操作列的“详情与建议”，弹出“详情与建议”对话框。
您可以在此页面查看存在风险的 API 资产信息、被攻击次数、首次被攻击的时间、最后一次被攻击的时间、异常原因分析、以及修复建议。您也可以在此页面单击“告警处置”，处理此告警，详细操作见告警处置。
告警类型为“敏感数据过多暴露”的详情页面

告警类型为“WEB 攻击”的详情页面

5.6.7.3 告警处置
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全”，进入“API 安全”页面。
(3) （可选）在“API 安全事件”页签下，选择统计时间或统计类型，页面刷新展示。
(4) 在“告警详情”区域，单击要查看的目标告警操作列的“告警处置”；或在“详情与建议”对话框中单击“告警处置”。
(5) 在弹出的“告警处理”对话框中，选择“API 暂停”，确定即可。
暂停 API 即调用 CGW 网关关闭 API 接口，无法访问 API，攻击请求也无法到达后端 Web 服务，可防止该 API 接口遭受恶意攻击。

5.6.7.4 下载告警数据
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全”，进入“API 安全”页面。
(3) （可选）在“API 安全事件”页签下，选择统计时间或统计类型，页面刷新展示。
(4) 在“告警详情”区域，单击可将经过过滤筛选后的告警数据下载到本地。

5.6.8 API 敏感数据分析

5.6.8.1 查看 API 敏感数据统计分析结果
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全”，进入“API 安全”页面。
(3) 在“API 敏感数据”页签下，选择统计时间，页面刷新展示该时间范围内的敏感数据类别分布情况、敏感词 TOP 10 和暴露敏感词的 API 资产分布情况。

5.6.8.2 查看被攻击的敏感信息 API 资产
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全”，进入“API 安全”页面。
(3) （可选）在“API 敏感数据”页签下，选择统计时间或统计类型，页面刷新展示。
(4) 在“敏感信息 API 资产”区域，可查看暴露敏感数据的 API 资产信息、该接口中含的敏感词、以及被访问的次数。
(5) 鼠标悬停在“标签”列，可查看所有的敏感词标签信息。

5.6.8.3 下载攻击信息数据
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 单击“API 安全”，进入“API 安全”页面。
(3) （可选）在“API 敏感数据”页签下，选择统计时间或统计类型，页面刷新展示。
(4) 在“敏感信息 API 资产”区域，单击可将经过过滤筛选后的数据下载到本地。

5.7 系统设置

5.7.1 规则管理

5.7.1.1 简介
系统内置了 Web 应用攻击防护规则库，系统将根据防护规则自动识别和匹配 Web 应用攻击类型，并触发相应告警。开启防护规则，CWAF 可根据规则自动匹配报文，产生相应的告警；关闭防护规则，CWAF 不识别 Web 攻击，不产生相应的告警。
系统内置的 Web 应用攻击防护规则分为三个等级：宽松规则、标准规则、严格规则。
5.7.1.2 查询规则
任务简介
在规则管理页面，支持通过危险等级、规则名称、规则 ID 等筛选条件查询防护规则。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 进入“设置 > 规则管理”页面。
(3) 支持通过危险等级、规则名称、规则 ID、威胁类型等条件查询规则。

5.7.1.3 启用/关闭规则
您可通过以下两种方式开启或关闭防护规则：
方式 1
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 进入“设置 > 规则管理”页面。
(3) 通过查询条件查找到目标规则后，单击“规则开关” ，开启/关闭某条 Web 应用攻击防护规则。
开启：CWAF 可根据规则自动匹配报文，产生相应的 Web 防护告警。
关闭：CWAF 无法识别与此规则相关的报文，不产生相应的 Web 防护告警。
(4) 单击“同步策略”，修改生效。

方式 2
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 进入“安全报表 > Web 攻击分析”页面，在“告警详情”区域，单击“告警详情”，弹出“告警详情”对话框。

(3) 在“告警详情”弹窗中，单击“规则 ID”，跳转至规则管理页面。

(4) 在“规则管理”页面，单击“规则开关”，开启/关闭此条 Web 应用攻击防护规则。

(5) 单击“同步策略”，修改生效。

5.7.2 设置告警通知

简介
您可以设置系统组件异常告警和告警事件的通知方式、告警通知触发的阈值，帮助您及时掌握业务的安全状态。
告警类型说明
系统组件异常告警：因 CWAF 引擎异常重启产生的告警。
告警事件：包括 WEB 攻击事件、CC 攻击事件、BOT 攻击事件。
操作步骤
(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 云原生 Web 应用防火墙 CWAF”。
(2) 进入“设置 > 告警”页面。单击“告警开关”，可开启/关闭告警通知。
选择告警类型右侧对应的“编辑”，在弹出的对话框中设置告警通知的条件。
当 1 个统计周期内的告警数达到触发阈值时，发送告警通知；1 天最多发送 24 次告警通知。

(5) 配置告警的通知方式。选择“站内信”、“邮件”或“短信”等告警通知方式。
站内信：当满足告警通知条件时，在产品页面上直接弹出告警通知信息。
邮件：当满足告警通知条件时，以邮件的方式发送告警信息；邮箱地址为租户绑定的邮箱地址。
短信：当满足告警通知条件时，以短信的方式发送告警信息；号码为租户绑定的手机号码。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服