Web Application Firewall 常见问题解答

常见问题

什么是 Oracle Cloud Infrastructure Web Application Firewall (WAF) 服务?

Oracle Cloud Infrastructure Web Application Firewall (WAF) 是一项基于云技术、符合 PCI 标准的全球安全服务,旨在保护应用免受恶意和非授权互联网流量攻击。Oracle Cloud Infrastructure WAF 可以为任何面向互联网的端点提供保护,从而对客户的各种应用实施一致的规则。

Oracle Cloud Infrastructure WAF 让客户能够通过创建和管理安全规则来规避各种互联网威胁,包括跨站点脚本 (XSS)、SQL 注入和其他 OWASP 定义的漏洞。借助这些规则,客户可以将恶意自动程序(僵尸程序)拦截在防火墙以外,而允许需要的自动程序进入,还可以基于地理位置或传入请求的签名实施访问限制。

Oracle 全球安全运营中心 (SOC) 全天候持续监视互联网威胁态势,将成为您的 IT 安全团队的坚强后盾。

Oracle Cloud Infrastructure WAF 适用于哪些场景?

Oracle Cloud Infrastructure WAF 可以用于保护面向互联网的 Web 应用或基于 HTTP 的 API。

Oracle Cloud Infrastructure WAF 的责任共担模式是什么?

责任 Oracle 客户
为 Web 应用安装/配置 WAF 策略
配置 WAF 实施依赖项(DNS、传入规则、网络)
为 WAF 提供高可用性 (HA)
监视分布式拒绝服务 (DDoS) 攻击
及时修补和更新 WAF 基础设施
监视数据平面日志中的异常、意外行为
根据新的漏洞和防护措施构建新规则
审核和接受新的建议规则
根据流量调优 WAF 访问规则和自动程序管理策略

Oracle Cloud Infrastructure WAF 有哪些优势?

Oracle Cloud Infrastructure WAF 能够帮助您拦截对 Web 应用或 API 的恶意请求,深入洞察流量来源,并防护第 7 层 DDoS 攻击,从而实现更高可用性。

WAF 提供自动程序管理解决方案,可通过 IP 速率限制、CAPTCHA、设备指纹以及人机交互验证等检测技术来识别和阻止恶意和/或可疑的自动程序从您的网站获取竞争数据。与此同时,WAF 允许来自 Google、Facebook 和其它公司的合法机器人正常访问您的 Web 应用。

Oracle Cloud Infrastructure WAF 采用智能的 DNS 数据驱动算法实时确定为特定用户提供服务的最佳全球接入点 (PoP)。换言之,它可以在确保正常运行时间和服务水平的同时,让用户绕过全球网络问题和潜在延迟。

Oracle Cloud Infrastructure WAF 提供哪些功能和主要特性?

  • 架构部署和来源锁定:仅允许通过端口 80 和 443 传输流量,并丢弃所有其他连接。
  • 通过 DNS 进行动态流量路由:结合考虑数千个全球位置的用户延迟情况,利用基于 DNS 的流量路由算法确定最低延迟的路由。
  • 高可用性:Oracle Cloud Infrastructure WAF 针对 Web 应用交付提供多个高可用性配置选项,并支持添加多个源服务器。这些设置和/或服务器仅在主源服务器离线或无法正确响应运行状况检查时才激活。
  • 管理策略:在 Oracle Cloud Infrastructure WAF 配置中配置和管理各种特性和功能。
  • 监视和报告:向用户提供与其内容库相关的报告。
  • 支持:向支持团队发送问题警报,并根据紧急程度(即 1 级、2 级或 3 级严重性)上报故障单。

如何快速开始使用 Oracle Cloud Infrastructure WAF 服务?

Oracle Cloud Infrastructure WAF 采用通用储值付费模式,计费标准如下:

  • 请求数量(若启用自动程序管理功能,价格会略有提高)
  • 通过 WAF 流出的数据量/流量
  • 非 Oracle Cloud Infrastructure 端点数量(每月)

是否可以在不使用任何其他服务的情况下订阅 Oracle Cloud Infrastructure WAF?

可以。Oracle Cloud Infrastructure WAF 服务可供通用储值用户使用。客户可以选择仅使用 Oracle Cloud Infrastructure WAF 服务来保护非 OCI 工作负载。使用 Oracle Cloud Infrastructure 控制台需要占用少量对象存储,这将显示在您的账单中。

是否可以通过 API 使用所有 Oracle Cloud Infrastructure WAF 功能?

可以。Oracle Cloud Infrastructure WAF 采用了 API 优先设计,因此可以在控制台中执行的任何操作均可通过 API 执行。

是否可以通过控制台执行所有 Oracle Cloud Infrastructure WAF 控制功能?

不可以,截至 2021 年 3 月,有些管理功能只能通过 API 来执行。仅可通过 API 执行的功能包括:

  • 威胁情报
  • IP 速率限制
  • 访问规则排序
  • 证书管理(除上传单个证书/密钥之外)
  • 报告和遥测(假设您无法使用 Oracle Cloud Infrastructure 公共遥测)

我们会逐步将这些功能项添加到控制台中,并发布有关如何管理这些功能的 API、SDK 和 Terraform 示例。

如何将 Oracle Cloud Infrastructure WAF 日志导入 SIEM 中?

建议您通过 API 将 WAF 日志导入 SIEM 中。我们暂时还没有发布可供 SIEM 程序使用的预构建插件。

我可以从哪些 Oracle Cloud Infrastructure 区域配置 WAF?

Oracle Cloud Infrastructure WAF 是一项全球服务,可以从任何商业区域进行配置,并且支持跨区域处理数据。所有 Oracle Cloud Infrastructure WAF 配置都将添加到全球“边缘”。

Oracle Cloud Infrastructure WAF 的全球接入点位于哪里?

Oracle 目前在全球以下位置提供总计 11 个边缘节点*:

  • 巴西
  • 印度
  • 悉尼
  • 法兰克福
  • 瑞士
  • 伦敦
  • 凤凰城
  • 阿什本
  • 多伦多
  • 东京
  • 首尔

*请注意,某些位置提供多个接入点。

技术问题

Oracle Cloud Infrastructure 是否提供第 7 层 (L7) 分布式拒绝服务 (DDoS) 防护?

是的,Oracle Cloud Infrastructure 为 Web 应用和服务提供无限的 DDoS 防护。

L7 DDoS 防护发生于何处?

DDoS 防护由 Oracle Cloud Infrastructure 边缘网络提供,该边缘网络由分布于全球的高容量接入点 (PoP) 组成,可支持广泛的边缘应用。Oracle 边缘接入点广泛分布于 Oracle Cloud Infrastructure 区域以及全球范围内的独立位置。具体来说,L7 DDoS 攻击由 Oracle Web Application Firewall (WAF) 管理,该服务具备全面的访问控制和自动程序管理特性,可有效应对 L7 DDoS 威胁。Oracle WAF 可在各个 PoP 上防范绝大多数 DDoS 攻击。当发生大规模 L7 DDoS 攻击时,Oracle 将通过广泛分布于全球的 DDoS 清洗中心来确保快速响应。

如何供应 Oracle Cloud Infrastructure L7 DDoS 防护服务?

可通过 Oracle Cloud Infrastructure 控制台配置该服务。客户可以从控制台的 WAF 自动程序管理菜单中选择 L7 DDoS 防护。有两种方式可供选择:

1. 按需 (On-demand):客户可以自行决定是否启用 L7 DDoS 防护。

2. 始终开启 (Always-on):L7 DDoS 防护始终开启,并提供自动保护。

L7 DDoS 防护包括哪些措施?

L7 DDoS 防护是 Oracle Cloud Infrastructure WAF 的一部分,用户可以选择一系列旨在应对复杂 L7 DDoS 攻击的策略选项来激活这项服务。这些策略选项包括但不限于 JavaScript 质询、IP 速率限制、设备指纹和人机交互验证。当选择 'always-on' 选项后,这些应对策略将进入全自动模式。用户还可以选择 'on-demand' 选项以自行决定是否要手动启用 L7 DDoS 防护。

L7 DDoS 防护服务的费用是多少?

L7 DDoS 防护是 Oracle Cloud Infrastructure WAF 的一部分。它采用基于流量和请求量的计量订阅模式。有关更多信息,请参阅 Oracle 定价页面

Oracle Cloud Infrastructure L7 DDoS 防护服务是如何工作的?

流量通过反向代理架构自动路由至 Oracle Cloud Infrastructure 边缘网络。边缘网络包括遍布全球的 PoP,这些 PoP 将在所有 HTTP 和 HTTPS 流量到达 Web 应用之前对其进行检查。PoP 使用已激活的 DDoS 应对策略,自动消除被识别为来自恶意僵尸网络的流量。

提供哪些报告功能?

Oracle Cloud Infrastructure 门户在控制台中提供关于警报、阻止的请求、僵尸防护和日志的近实时报告。

如何将源配置为仅接受来自 Oracle Cloud Infrastructure WAF 边缘节点的连接?

您可以将源传入规则配置为仅接受来自特定 CIDR 范围的连接。请参阅快速入门指南中的保护 WAF 一节来获取 CIDR 范围最新列表。

客户是否可以在 CAPTCHA 页面上添加品牌标识?

不可以,我们目前不支持此功能。

Oracle Cloud Infrastructure WAF 支持 OWASP 的哪些核心规则集 (CRS)?

Oracle Cloud Infrastructure WAF 支持 CRS 3.0。

如何同时启用所有规则集中的所有规则?

可以通过 API、CLI、SDK 或 Terraform 编写脚本来完成此任务,但不建议同时启用所有规则。

在哪里可以获取有关 WAF 服务的更多信息?

有关详细信息,请参阅 Web Application Firewall 主页。

Oracle Cloud Infrastructure WAF for Fusion Applications

Oracle Cloud Infrastructure WAF for Fusion Applications 是如何工作的?

WAF for Oracle Fusion Cloud Applications Suite 可帮助 Oracle SaaS Cloud Security 团队更深入地了解针对应用数据的应用级攻击,改善客户的安全状况。WAF for Fusion Applications 对客户完全透明,由 Oracle 主题内容专家进行端到端管理。借助这一开箱即用的产品,客户可以获得一个全天候安全运营中心,在不影响应用弹性或可用性的情况下更新、监视、管理、响应和保护 Fusion Applications。

Oracle Cloud Infrastructure WAF for Fusion Applications 如何收费?

托管在 Oracle Cloud Infrastructure 上的所有 Fusion 客户均可免费使用 WAF for Fusion Applications。

该服务是否会影响 Fusion Applications 的性能?

WAF for Fusion Applications 与 Oracle 负载均衡器一同部署,支持数百条规则,可全面检查针对 Fusion Applications 和 API 的所有 Web 请求并尽可降低传入流量延迟。

Oracle Cloud Infrastructure WAF 与 WAF for Fusion Applications 有何区别?

WAF for Fusion Applications 是 Oracle Cloud Infrastructure WAF 针对 SaaS 产品的优化版本。它可以基于 SaaS 安全团队为提供始终在线的第 7 层保护而设计的现成规则来筛选流量,保护 SaaS 应用免受针对性攻击。

注:为免疑义,本网页所用以下术语专指以下含义:

  1. 除Oracle隐私政策外,本网站中提及的“Oracle”专指Oracle境外公司而非甲骨文中国。
  2. 相关Cloud或云术语均指代Oracle境外公司提供的云技术或其解决方案。