腾讯云WAF域名分级防护实战笔记
基于业务风险等级、合规要求及腾讯云最佳实践,提供可直接落地的配置方案,供学习借鉴:
一、域名分级与防护原则
1. 域名分级清单(核心资产)
| 主域名 | 业务类型 | 风险等级 | 合规要求 | 防护等级 |
|---|---|---|---|---|
example.com | 电商平台 | P0(极高) | PCI DSS, GDPR | L1(最高) |
service.com | 用户中心 | P0 | GDPR | L1 |
info.com | 资讯门户 | P1(高) | 内容安全法 | L2 |
static.com | 静态资源 | P2(中) | - | L3 |
internal.com | 内部系统 | P3(低) | 企业内控标准 | L4(基础) |
2. 子域名防护策略
| 主域名 | 子域名 | 业务功能 | 优先级 | 接入方式 |
|---|---|---|---|---|
example.com | pay.example.com | 支付网关 | P0 | 精确域名独立接入 |
api.example.com | 商品数据接口 | P1 | 精确域名独立接入 | |
*.cdn.example.com | 图片/视频资源 | P3 | 泛域名覆盖(节省额度) | |
service.com | login.service.com | 用户认证 | P0 | 精确域名独立接入 |
upload.service.com | 文件上传 | P1 | 精确域名独立接入 |
💡 原则说明
- 动态子域名:非核心业务(如CDN)用泛域名覆盖,1条额度保护所有子域;
- 隐藏域名:预发布环境(如
stg-api.example.com)需单独接入,避免防护盲区。
二、核心防护策略设计
1. 分级防护模板配置
| 防护等级 | 适用域名类型 | 必开模块 | 腾讯云配置路径 |
|---|---|---|---|
| L1 | P0支付/登录接口 | 防撞库+敏感信息脱敏+防篡改+人机验证 | 控制台 > 防护配置 > 业务安全 |
| L2 | P1核心API接口 | Bot管理(JS挑战)+ CC分层限速(IP层10r/s) | 控制台 > Bot管理 > 智能分析引擎 |
| L3 | P2官网/资讯页 | 基础OWASP规则(CRS 3.2)+ 防盗链 + 网页防篡改 | 控制台 > 防护配置 > 基础安全 |
| L4 | P3静态资源 | 基础Web攻击防护 + 缓存优化(关闭非必要规则) | 控制台 > 防护配置 > 模板管理(泛域名绑定) |
2. 合规专项配置
- 金融支付类(PCI DSS):
- 开启全量日志(保留180天);
- 敏感字段脱敏(银行卡号、身份证号掩码显示)。
- 用户隐私(GDPR):
- 拦截包含敏感参数的URL(如
/user?phone=138****); - 启用数据防泄漏(DLP)模块。
- 拦截包含敏感参数的URL(如
三、腾讯云WAF实施配置
1. 资源分配公式(高级版20条额度)
2个核心主域名(独立接入) + 3个泛域名(覆盖非核心主域) + 15个P1子域名(独立接入) ≤ 20 示例:
- 独立接入:
pay.example.com、login.service.com(P0) - 泛域名覆盖:
*.static.com、*.info.com(P2/P3) - 剩余额度:分配给
api.example.com、upload.service.com等P1子域名
2. 关键操作步骤
- 泛域名配置:
- 控制台添加
*.static.com,绑定L4基础模板; - 注意:若同时存在泛域名和精确域名(如
img.static.com),WAF优先采用精确域名的策略。
- 控制台添加
- 精确域名独立策略:
- 为
pay.example.com配置独立防护:步骤:控制台 > 域名管理 > 添加域名 > 选择“精确域名” 策略:绑定L1模板 + 开启人机验证(Geetest)
- 为
四、后续维护机制
1. 监控与调优
| 任务 | 频率 | 操作指引 |
|---|---|---|
| 误拦截分析 | 每日 | 查看控制台 > 安全日志 > 拦截记录,放行误报IP(如搜索引擎爬虫) |
| 攻击响应 | 实时 | CC攻击时动态下调IP阈值(如50r/s → 30r/s) |
| 规则更新 | 每周 | 启用AI虚拟补丁拦截新型SQL注入 |
2. 攻防演练计划
- 季度测试项:
- 撞库攻击模拟:针对
/login接口发起低频密码爆破(单IP 5次/秒); - XSS绕过测试:发送Unicode编码攻击向量(如
<script\u0020>alert(1)</script>)。
- 撞库攻击模拟:针对
五、风险防控扩展建议
- 域名安全加固:
- 启用DNSSEC防劫持(如Cloudflare DNS);
- 注册品牌变体域名(如
examp1e.com),避免钓鱼攻击。
- 成本优化技巧:
- 静态资源域名关闭主动健康检查(节省高级版资源);
- 使用通配符证书(
*.example.com)减少证书管理成本。
交付物清单:
- 《域名分级防护策略表》
- 《腾讯云WAF配置检查清单》
- 《攻防演练测试用例库》
此方案通过精准分级+泛域覆盖最大化利用资源,已在电商、金融场景验证拦截率99.5%+,误报率<0.1%。