接入Web应用防火墙(Web Application Firewall,简称WAF)后,您可以通过设置白名单规则,放行具有指定特征的请求,使请求不经过全部或特定防护模块(例如基础防护规则、IP黑名单、自定义规则、扫描防护等)的检测。本文介绍如何创建白名单规则模板并添加白名单规则。

背景信息

白名单规则模板支持默认规则模板和自定义规则模板。
规则模板说明生效对象
默认规则模板WAF内置的规则模板,不包含白名单规则。使用时,需要添加白名单规则。无需设置生效对象,默认应用于所有未关联到自定义规则模板的防护对象和对象组(包括后续新增的、从自定义规则模板中移除的防护对象和对象组)。
自定义规则模板根据业务需要,自定义的规则模板。创建规则模板时,需要添加白名单规则。需要设置生效对象,只对关联到规则模板的防护对象和对象组生效。
说明 未添加白名单规则的规则模板不具有防护作用,默认所有请求都需要经过WAF防护,不放行任何请求。

前提条件

步骤一:创建白名单规则模板

仅自定义防护规则模板需要创建白名单规则模板。如果您使用的是默认规则模板,可跳过该步骤。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择防护配置 > 防护规则
  3. 防护规则页面下方白名单区域,单击新建模板
    说明 如果您是第一次新建白名单规则模板,您也可以在防护规则页面上方的白名单卡片区域,单击立即配置
  4. 新建模板 - 白名单面板,完成以下配置,单击确定
    配置项说明
    模板名称为该模板设置一个名称。

    长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    是否设置为默认模板选择是否将该模板设置为当前防护模块的默认模板。

    一个防护模块只允许设置一个默认模板。默认模板无需设置生效对象,默认应用于所有未关联到自定义规则模板的防护对象和对象组(包括后续新增、从自定义规则模板中移除的防护对象和对象组)。

    规则配置您可以单击新建规则,为当前模板新建白名单规则;或者忽略该设置,在创建规则模板后,再为模板新建规则。具体操作,请参见步骤二:在白名单规则模板中添加白名单规则
    生效对象从已添加的防护对象及对象组中,选择要应用该模板的防护对象防护对象组

    一个防护对象或对象组只能关联到当前防护模块下的一个模板。关于添加防护对象和对象组的具体操作,请参见防护对象和防护对象组

    新建的规则模板默认开启。您可以在规则模板列表执行如下操作:
    • 查看模板关联的防护对象/组的数量。
    • 通过模板开关,开启或关闭模板。
    • 编辑删除规则模板。
    • 单击规则模板名称左侧的展开图标 图标,查看规则模板包含的规则。
      说明 如下情况,WAF会自动创建一个规则模板名称为AutoTemplate的模板,并自动添加一条白名单规则。
      • 创建基础防护规则时,开启智能白名单功能后,WAF会自动添加一条规则来源为智能白名单的白名单规则。更多信息,请参见配置智能白名单
      • 查看安全报表时,如果基础防护规则中的攻击处置为误报屏蔽,WAF会自动添加一条规则来源为自定义的白名单规则。更多信息,请参见基础防护规则
      • 查看安全报表时,如果将Bot管理中的攻击处置为添加至白名单,WAF会自动添加一条规则来源为自定义的白名单规则。更多信息,请参见Bot管理

步骤二:在白名单规则模板中添加白名单规则

只有添加白名单规则后,白名单规则模板才具有防护作用。如果您已在白名单规则模板中添加了白名单规则,可跳过该步骤。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择防护配置 > 防护规则
  3. 白名单区域,定位到要添加白名单规则的规则模板,单击操作列下的新建规则
  4. 新建规则对话框,完成以下配置,单击确定
    配置项说明
    规则名称为该规则设置一个名称。

    支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    匹配条件设置该规则要匹配的请求特征。

    单击新增条件,添加一个条件。一个规则中最多可以添加五个条件。如果定义了多个条件,则只有当多个条件同时满足时,才算命中规则。

    每个条件由匹配字段逻辑符匹配内容组成。配置示例如下:
    • 示例1:匹配字段URI逻辑符包含匹配内容/login.php,表示当被请求的路径包含/login.php时,则请求命中该规则。
    • 示例2:匹配字段IP逻辑符属于匹配内容192.XX.XX.1,表示当发起连接的客户端IP为192.XX.XX.1时,则请求命中该规则。

    关于匹配字段和逻辑符的更多说明,请参见匹配条件说明

    不检测模块选择命中匹配条件的请求无需经过的防护模块。可选项:
    • 全部:表示命中匹配条件的请求不受任何防护模块的检测,直接放行到源站服务器。

      该选项一般用于放行您完全信任的流量,例如受信任的漏洞扫描工具的访问、已认证的第三方系统接口的访问等。

      重要 越精细的白名单规则安全性越高。建议您根据业务情况,选择具体的防护模块,有针对性的放行网站请求。
    • 基础防护规则:表示命中匹配条件的请求不受指定的基础防护规则的检测。
      选中基础防护规则后,还需要设置要忽略的规则。可选项:
      • 全部规则:默认已选择,表示忽略全部规则。
      • 特定规则ID:表示忽略指定ID的规则。

        需输入要忽略的规则ID(六位数字格式)。每输入一个规则ID,按回车进行确认。最多支持输入50个规则ID。

      • 特定规则类型:表示忽略指定类型的规则。

        需单击展开图标并选择要忽略的规则类型。

    • 自定义规则:表示命中匹配条件的请求不受自定义规则模块的检测。
    • IP黑名单:表示命中匹配条件的请求不受IP黑名单模块的检测。
    • 扫描防护:表示命中匹配条件的请求不受扫描防护模块的检测。
    • Bot管理:表示命中匹配条件的请求不受Bot管理模块的检测。
    • 网页防篡改:表示命中匹配条件的请求不受网页防篡改模块的检测。
    • 信息泄露防护:表示命中匹配条件的请求不受信息泄露防护模块的检测。
    • CC防护:表示命中匹配条件的请求不受CC防护模块的检测。
    • 区域封禁:表示命中匹配条件的请求不受区域封禁模块的检测。
    新建的规则默认开启。您可以在规则模板列表执行如下操作:
    • 通过状态开关,开启或关闭规则。
    • 编辑删除规则。

后续步骤

您可以在安全报表页面查询防护规则的拦截记录,获取触发拦截的规则ID。更多信息,请参见安全报表

相关文档