设置规则防护引擎

规则防护引擎基于内置的防护规则集,自动为网站防御SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。

前提条件

  • 已开通Web应用防火墙实例。

  • 已完成网站接入。具体操作,请参见使用教程

背景信息

Web应用防火墙(WAF)的规则防护引擎默认开启,所有接入WAF防护的网站业务,默认都受到规则防护引擎的检测和防护。

规则防护引擎基于阿里云安全团队在Web攻击防御实践中沉淀的大量基础防护规则,帮助网站防御各种常见的Web应用攻击。您可以根据业务防护需要,在防护规则组的维度,设置规则防护引擎采用哪些防护规则。WAF按照防护严格程度,内置了三套规则组供您选用:

  • 中等规则组:默认选用该规则组。

  • 宽松规则组:如需减少误拦截,可选用该规则组。

  • 严格规则组:如需提高攻击检测命中率,可选用该规则组。

您也可以自定义防护规则组,相关操作,请参见自定义防护规则组

智能规则托管

规则防护引擎默认开启智能规则托管,针对规则防护引擎可能对正常业务流量产生的误拦截进行自动规避。

智能规则托管表示由规则防护引擎通过智能算法,自学习网站业务的历史流量特征,并结合阿里云安全威胁情报数据,自动识别不适用于防护当前业务场景或接口的规则(这类规则可能在相应场景或接口防护中产生误拦截或误报);在规则识别的基础上,通过自动添加最小粒度的Web入侵防护白名单规则(一般针对某个特定的业务接口URL,忽略某个特定规则ID),确保在规避误报的同时不扩大攻击影响面。误报风险消除后,规则防护引擎会自动删除之前自动添加的Web入侵防护白名单规则。

操作步骤

  1. 登录Web应用防火墙控制台

  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。

  3. 在左侧导航栏,选择防护配置 > 网站防护

  4. 网站防护页面上方,切换到要设置的域名。切换域名

  5. 单击Web安全页签,定位到规则防护引擎区域,完成以下功能配置。Web应用攻击防护

    配置项

    说明

    状态

    开启或关闭规则防护引擎。规则防护引擎默认开启,为所有接入WAF防护的网站防御常见的Web应用攻击。

    您可以在安全报表页面,通过Web安全 > Web入侵防护报表,查询规则防护引擎的攻击命中记录。如果您发现某个规则误拦截了正常业务流量,可以通过误报屏蔽功能,屏蔽指定的规则。更多信息,请参见Web安全报表说明

    误报屏蔽

    模式

    检测发现攻击请求时,对攻击请求执行的操作。可选值:

    • 拦截:直接阻断攻击请求。

    • 告警:只触发告警,不阻断攻击请求。

    智能规则托管

    开启或关闭智能规则托管。智能规则托管默认开启,通过动态管理Web入侵防护白名单,降低误拦截风险。

    您可以在规则防护引擎配置区域,查看规则防护引擎已智能优化XX条规则;单击点击查看,可跳转到Web入侵防护 - 白名单页面,查看规则防护引擎自动添加的白名单规则(规则来源智能规则托管)。您可以编辑或删除自动添加的白名单规则。智能规则托管

    等误报风险消除后,自动添加的白名单规则会被自动删除。

    重要
    • 如果您手动编辑过自动添加的白名单规则,该规则仍会在误报风险消除后,被自动删除。

    • 您手动创建的Web入侵白名单规则不会被自动删除。

    防护规则组

    选择要应用的防护规则组。支持应用内置规则组和自定义规则组。内置规则组包括:

    • 中等规则组:按照标准防护程度去检测常见的Web应用攻击。默认应用该规则组。

    • 严格规则组:按照严格防护程度去检测路径穿越、SQL注入、命令执行等Web应用攻击。

    • 宽松规则组:按照宽松防护程度去检测常见Web应用攻击。当您发现中等规则下存在较多误拦截,或者业务存在较多不可控的用户输入(例如,富文本编辑器、技术论坛等),建议您选择该规则组。

    单击前去配置,将跳转到防护规则组配置页面,您可以根据业务需要自定义防护规则组及要应用的防护规则。具体操作,请参见自定义防护规则组

    解码设置

    设置需要规则防护引擎解码分析的内容格式。

    为保证防护效果,规则防护引擎默认对请求中所有格式类型的内容进行解码分析。如果您发现规则防护引擎经常对业务中包含指定格式内容的请求造成误拦截,您可以取消解码对应格式,针对性地降低误杀率。

    您可以展开解码设置菜单,根据需要选中或取消选中要解码的格式。

    重要
    • 以下解码格式不支持取消:URL解码JavaScript Unicode解码Hex解码注释处理空格压缩

    • 默认不开启base64解码

    image

查询防护规则

您可以参照以下方法,查询WAF规则防护引擎中最新添加的防护规则、查询规则防护引擎中目前包含的所有防护规则:

  • 查询最新防护规则

    您可以在Web应用防火墙控制台总览页面,通过应急漏洞列表,查询规则防护引擎中最新添加的防护规则。

    应急漏洞记录展示了WAF应对互联网上最新披露的安全漏洞所发布的防护规则更新。

    应急漏洞

    您可以单击某个应急漏洞记录,查看应急漏洞防护详情。详情页面展示了受该漏洞影响的网站域名,以及漏洞的详情和相关的WAF防护规则信息。

    应急漏洞详情

  • 查询所有防护规则

    您可以在Web应用防火墙控制台系统管理 > 防护规则组页面,查询WAF规则防护引擎包含的所有防护规则。

    查询方法如下:

    1. Web攻击防护页签,定位到严格规则组,单击内置规则数列下的数字链接。

      严格规则组是规则防护引擎下默认创建的一个系统规则组(不支持编辑),包含规则防护引擎的所有防护规则。

      说明

      由于规则防护引擎的防护规则会动态变化,您看到的内置规则数可能与以下截图不一致。

      严格规则组

    2. 内置规则数面板,查询您想要了解的防护规则。

      您可以通过危险等级防护类型应用类型筛选防护规则,或者通过规则IDCVE ID(Common Vulnerabilities and Exposures ID)查询某个防护规则。例如,您通过总览或者安全报表页面获取到某个防护规则的ID后,可以使用规则ID查询该规则。

      内置规则数

      规则列表向您展示了防护规则的以下信息:危险等级/规则名称规则ID更新时间应用类型CVE ID防护类型规则描述

      您可以单击具体的CVE ID,查看该规则对应的漏洞详情。