网站接入Web应用防火墙后,正则防护引擎功能默认开启。正则防护引擎基于内置的专家经验规则集,自动为网站防御SQL注入、XSS跨站,webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。您可以根据实际需求调整正则防护引擎的防护策略。

前提条件

说明 本文介绍的正则防护引擎功能对应2020年1月发布的新版控制台界面,新版界面目前仅向中国大陆地域开放。如果您使用在此日期前开通的Web应用防火墙实例或海外地区服务,请参见Web应用攻击防护
  • Web应用防火墙实例的地域必须是中国大陆。
  • 已完成网站接入。更多信息,请参见业务接入WAF配置

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在页面上方选择中国大陆地域。
  3. 在左侧导航栏,单击防护配置 > 网站防护
  4. 网站防护页面上方,切换到要设置的域名。切换域名
  5. 定位到Web入侵防护下的正则防护引擎配置区域,完成以下功能配置。
    配置项 说明
    状态 开启或关闭正则防护引擎功能。
    模式 检测发现攻击请求时,对攻击请求执行的操作。可选值:
    • 拦截:直接阻断攻击请求。
    • 告警:只触发告警,不阻断攻击请求。
    防护规则组 要应用的检测策略。支持应用内置规则组和自定义规则组。内置规则组包括中等规则、严格规则、宽松规则。
    • 中等规则:标准检测常见Web应用攻击,默认应用。
    • 严格规则:严格检测路径穿越、SQL注入、命令执行等Web应用攻击。
    • 宽松规则:宽松检测常见Web应用攻击。当您发现中等规则下存在较多误拦截,或者业务存在较多不可控的用户输入(例如富文本编辑器、技术论坛等),建议您选择该模式。

    单击前去配置,前往自定义规则组配置页面,您可以根据业务需要自定义规则组,选择要应用的内置规则。更多信息,请参见自定义规则组

    解码设置 设置需要正则防护引擎解码分析的内容格式。

    为保证防护效果,正则防护引擎默认对请求中所有格式类型的内容进行解码分析。如果您发现正则防护引擎经常对业务中包含指定格式内容的请求造成误拦截,您可以取消解码对应格式,针对性地降低误杀率。

    操作步骤
    1. 展开配置菜单。解码设置
    2. 勾选或取消勾选要解码的格式。
      • 不支持取消的格式:URL解码、javascript unicode解码、hex解码、注释处理、空格压缩。
      • 支持取消的格式:multipart解析、json解析、xml解析、php序列化解码、html实体解码、utf-7解码、base64解码、form解析。
    3. 单击确定
    Web应用攻击防护

执行结果

正则防护引擎的功能配置调整后自动生效。