接入Web应用防火墙(Web Application Firewall,简称WAF)后,您可以通过设置网页防篡改规则,锁定需要保护的网站页面(例如敏感页面)。当被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改。本文介绍如何创建网页防篡改规则模板并添加防护规则。
使用限制
混合云接入、云产品接入(MSE、FC或SAE)的防护对象暂不支持该功能。
前提条件
已开通WAF 3.0服务。具体操作,请参见开通包年包月WAF 3.0、开通按量付费WAF 3.0。
已将Web业务添加为WAF 3.0的防护对象。具体操作,请参见配置防护对象和防护对象组。
步骤一:创建网页防篡改规则模板
网页防篡改规则不提供默认规则模板。如果您需要启用网页防篡改规则,您必须新建一个规则模板,再添加对应规则。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)
在左侧导航栏,选择
在Web基础防护页面下方网页防篡改区域,单击新建模板。
说明如果您是第一次新建IP黑名单规则模板,您也可以在Web基础防护页面上方的网页防篡改卡片区域,单击立即配置。
在新建模板 - 网页防篡改面板,完成以下模板配置后,单击确定。
配置项
说明
模板名称
为该模板设置一个名称。
长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
规则配置
您可以单击新建规则,为当前模板新建网页防篡改规则。您也可以忽略该设置,在创建规则模板后,再为模板新建规则。具体操作,请参见步骤二:在网页防篡改规则模板中添加网页防篡改规则。
生效对象
从已添加的防护对象及对象组中,选择要应用该模板的防护对象和防护对象组。
一个防护对象或对象组只能关联到当前防护模块下的一个模板。关于添加防护对象和对象组的具体操作,请参见配置防护对象和防护对象组。
新建的规则模板默认开启。您可以在规则模板列表执行如下操作:
查看模板关联的防护对象/组的数量。
通过模板开关,开启或关闭模板。
编辑或删除规则模板。
编辑规则模板。
单击规则模板名称左侧的图标,查看规则模板包含的规则。
单击规则模板名称左侧的图标,查看规则模板包含的引擎信息。
步骤二:在网页防篡改规则模板中添加网页防篡改规则
只有添加网页防篡改规则后,网页防篡改规则模板才具有防护作用。如果您已在创建规则模板时添加了对应规则,可跳过该步骤。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)
在左侧导航栏,选择
在网页防篡改区域,定位到要新建规则的规则模板,单击操作列的新建规则。
在新建规则对话框,完成以下配置后,单击确定。
配置项
说明
规则名称
为该规则设置一个名称。
支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
缓存页面的地址
为该规则设置缓存页面类型和详细路径。
缓存页面类型:http、https。
缓存页面路径:
默认为
www.waftest.cn/index.html
,支持修改。不支持通配符(例如
/*
)或参数(例如/abc?xxx=yyy
中,xxx=yyy
为参数部分)。重要URL携带参数的请求不会命中防篡改规则,会被WAF转发回源站。例如,缓存页面路径设置为
/abc
,请求URL为/abc?xxx=yyy
时,该请求不会命中缓存页面路径为/abc
的防篡改规则。该路径下的TXT、HTML和图片等文件都将受到防护。受到防护的单个文件大小不超过1 MB。
重要不支持目录,只缓存指定的URL
指定user-agent访问该页面
为该规则指定访问客户端的浏览器标识。
若不选中指定user-agent访问该页面,则user-agent默认为PC浏览器标识。
若选中指定user-agent访问该页面,则需要指定user-agent。
您可以打开浏览器,按F12键打开开发者模式。在Network页签,单击发起的Request请求,在Request Headers部分,找到User-Agent字段,即可获取浏览器标识。
说明创建防篡改规则后,系统会立即自动拉取资源并缓存到WAF中,随后的访问将使用防篡改缓存页面。
如果您再次打开模块开关或激活规则状态,与手动单击更新缓存效果一样,都会重新访问防篡改保护资源并刷新缓存。
新建的规则默认开启。您可以在规则模板列表执行如下操作:
通过状态开关,开启或关闭规则。
编辑或删除规则。
相关操作
如果您希望为您的服务器的某个目录开启网页防篡改功能,您可以启用云安全中心的网页防篡改功能。具体操作,请参见网页防篡改。
WAF和云安全中心的网页防篡改功能区别如下:
区别 | WAF | 云安全中心 |
实现原理 | 锁定需要保护的网站页面(例如敏感页面),被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改。 | 通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改。 |
生效维度 | URL地址。 | 服务器目录。 |
相关文档
如果您想了解WAF 3.0的防护对象、防护模块及防护流程等信息,请参见防护配置概述。
如果您想使用API创建防护模板,请参见CreateDefenseTemplate - 创建防护模板。
如果您想创建一个基础防护规则,并配置规则内容,请参见CreateDefenseRule - 创建防护规则。