网站接入Web应用防火墙防护后,规则防护引擎默认开启。规则防护引擎基于内置的专家经验规则集,自动为网站防御SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。您可以修改规则防护引擎的防护策略及查询防护规则。
前提条件
- 已开通Web应用防火墙实例。更多信息,请参见开通Web应用防火墙。
- 已完成网站接入。更多信息,请参见网站接入。
操作步骤
- 在网站防护页面上方,切换到要设置的域名。
- 单击Web安全页签,定位到规则防护引擎区域,完成以下功能配置。
配置项 说明 状态 开启或关闭规则防护引擎。网站接入Web应用防火墙防护后,规则防护引擎默认开启。 说明 规则防护引擎开启后,所有网站请求默认都会经过规则防护引擎的检测。您可以通过设置Web入侵防护白名单,让满足条件的请求忽略规则防护引擎的检测。具体操作,请参见设置Web入侵防护白名单。模式 检测发现攻击请求时,对攻击请求执行的操作。可选值: - 拦截:直接阻断攻击请求。
- 告警:只触发告警,不阻断攻击请求。
防护规则组 要应用的检测策略。支持应用内置规则组和自定义规则组。内置规则组包括: - 中等规则组:按照标准防护程度去检测常见的Web应用攻击。默认应用该规则组。
- 严格规则组:按照严格防护程度去检测路径穿越、SQL注入、命令执行等Web应用攻击。
- 宽松规则组:按照宽松防护程度去检测常见Web应用攻击。当您发现中等规则下存在较多误拦截,或者业务存在较多不可控的用户输入(例如,富文本编辑器、技术论坛等),建议您选择该规则组。
单击前去配置,将跳转到防护规则组配置页面,您可以根据业务需要自定义防护规则组及要应用的防护规则。具体操作,请参见自定义防护规则组。
解码设置 设置需要规则防护引擎解码分析的内容格式。 为保证防护效果,规则防护引擎默认对请求中所有格式类型的内容进行解码分析。如果您发现规则防护引擎经常对业务中包含指定格式内容的请求造成误拦截,您可以取消解码对应格式,针对性地降低误杀率。
您可以展开解码设置菜单,根据需要选中或取消选中要解码的格式。注意 以下解码格式不支持取消:URL解码、JavaScript Unicode解码、Hex解码、注释处理、空格压缩。
查询防护规则
您可以参照以下方法,查询WAF规则防护引擎中最新添加的防护规则、查询规则防护引擎中目前包含的所有防护规则:
- 查询最新防护规则
您可以在Web应用防火墙控制台的总览页面,通过应急漏洞列表,查询规则防护引擎中最新添加的防护规则。
应急漏洞记录展示了WAF应对互联网上最新披露的安全漏洞所发布的防护规则更新。
您可以单击某个应急漏洞记录,查看应急漏洞防护详情。详情页面展示了受该漏洞影响的网站域名,以及漏洞的详情和相关的WAF防护规则信息。
- 查询所有防护规则
您可以在Web应用防火墙控制台的页面,查询WAF规则防护引擎包含的所有防护规则。
查询方法如下:- 在Web攻击防护页签,定位到严格规则组,单击内置规则数列下的数字链接。
严格规则组是规则防护引擎下默认创建的一个系统规则组(不支持编辑),包含规则防护引擎的所有防护规则。说明 由于规则防护引擎的防护规则会动态变化,您看到的内置规则数可能与以下截图不一致。
- 在内置规则数面板,查询您想要了解的防护规则。
您可以通过危险等级、防护类型、应用类型筛选防护规则,或者通过规则ID、CVE ID(Common Vulnerabilities and Exposures ID)查询某个防护规则。例如,您通过总览或者安全报表页面获取到某个防护规则的ID后,可以使用规则ID查询该规则。
规则列表向您展示了防护规则的以下信息:危险等级/规则名称、规则ID、更新时间、应用类型、CVE ID、防护类型、规则描述。
您可以单击具体的CVE ID,查看该规则对应的漏洞详情。
- 在Web攻击防护页签,定位到严格规则组,单击内置规则数列下的数字链接。