江苏龙网

  1. 首页 > 人文 > >

WangLiwen|ShareWAF功能白皮书:遇见强大的下一代WAF!( 二 )


使用方法:
从ShareWAF后台 , 启用“变形元素”功能 , 并设定要“变形”的元素ID或名称 。
注释:
①不可使用password等前端语法关键字 。
②变形元素标识是随机且动态的 , 无法被自动化嗅探 。
③如发生缓存 , 会影响变形元素效果 。
④注意防止名称雷同 , 影响其它内容 。
5.防扫描☆☆☆
即:防漏扫 。
功能用途:
防止各种扫描工具对网站发起的漏洞扫描 。 防护后将基本扫描不出漏洞信息 。
使用方法:
ShareWAF有3种方法可实现防扫描 , 可同时使用:
①从ShareWAF后台启用“防扫描”功能 , 并设定扫描特征 , 即:攻击特征 。 特征为扫描器标识 。
②使用AI风控规则:
从rules.js规则文件中设定“访问规则”:任意页面 , 一定时间范围时 , 如0.1分钟 , 发生大量访问 , 即可基本认定为是扫描器或类似的自动化攻击工具行为 。
③从ShareWAF后台 , 开启“防应用层DDOS”功能 , 也与②有异曲同工之效果 。
6.Web服务器信息伪装☆
自动①修改网站反馈给浏览器或扫描软件的Web服务器响应信息 , 抹去IIS、Apache、Nginx等信息特征 。
功能用途:
隐藏、伪造Web服务器关键信息 , 防止针对性的攻击 , 如:溢出 。
注释:
①此功能无需操作 , ShareWAF运行时自动实现 。
7.AI风控防护☆☆☆
ShareWAF中基于传统规则思路的独立防护模块、可高度自定义规则的AI风控功能① 。
是又一重Web安全防线 , 更是易用且强大的风控系统 。
功能用途:
通过规则设计 , 可实现众多Web安全防护效果 , 如:防SQL注入、防木马上传等 。
更可实现风控功能:防自动发贴、防批量注册、防爬虫②、防撞库等 。
使用方法:
打开rulemode.js文件 , 设置enable值为1 , 然后在rule.js文件中编辑防护规则 , 重启即可 。
注释:
①所谓AI , 指用类似人的思维进行条件式规则设计 , 以此实现的防护 , 有接近人工智能的聪明、实用效果 , 为体现此特点 , 故对此功能冠名AI 。
②通过控制访问频率 , 限制各种爬虫连续访问 。
8.自定义编程☆☆☆
ShareWAF开放核心功能二次开发接口 , 可根据自身需求进行自定义编程 。
功能用途:
①实现私有化防护功能 , 可以是很强大的功能 , 甚至是一个新的防护引擎 。
②对已有功能进行微调 , 比如:网页源码加密算法、响应头等 。
③实现自己需要的个性化功能 , 比如:以Syslog协议传输日志到远程日志服务器 。
使用方法:
①编程语言限:JavaScript 。
②开发接口文件为:developer.js , 内有相关说明及例程 。
9.WebAPI☆☆
ShareWAF有WebAPI接口功能 , 可通过独立的接口服务器提供服务 。
功能用途:
接口功能涵盖:注册、登录、配置、文件上传等多方面 , 可用于实现ShareWAF后端UI二次开发 。
10.网页防篡改☆☆☆
功能用途:
可将静态①文件缓存于ShareWAF , 将ShareWAF当为一个Web服务器 。 如此 , 即使原网站服务器文件被非法修改、甚至网站被删除 , 也却并会不影响正常访问 , 因为原网站只是影子服务器 , 真正的Web服务器其实成了ShareWAF 。
另外 , 此功能也可用于访问加速 , 规避因为部署WAF带来的访问性能影响 。
使用方法:
①从ShareWAF后台 , 启用“网页防篡改” , 即:缓存功能 。 然后设定要缓存的文件后缀名 , 再启用“缓存更新” , 最后访问被保护的网站 , 访问后的文件就缓存到ShareWAF了 。
②也可使用手工操作方法 , 相较更为简单 , 且更适用文件量较大的情况:直接复制网站文件到ShareWAF目录下Cache目录中的“网站域名”子目录 , 即可 。


推荐阅读


上一篇:IT168|华为荣耀逆势增长,中国手机市场2020年5月零售档位情况

下一篇:快资讯|是扛不值群嘲法盲还是自知理亏?,热闹了!字节跳动副总裁吐槽腾讯后删帖