AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 Web应用防火墙 Web应用防火墙3.0 操作指南 防护配置 Web核心防护 设置白名单规则放行特定请求

设置白名单规则放行特定请求

更新时间:
产品详情
我的收藏

接入Web应用防火墙(Web Application Firewall,简称WAF)后,您可以通过设置白名单规则,放行具有指定特征的请求,使请求不经过全部或特定防护模块(例如Web核心防护规则、IP黑名单、自定义规则、扫描防护等)的检测。本文介绍如何创建白名单防护模板并添加白名单规则。

模板类型

白名单防护模块支持以下两种模板类型。

防护模板

说明

生效对象

默认防护模板

WAF提供的初始默认防护模板,不包含白名单规则。使用时,需要添加白名单规则。

新建时,对所有防护对象/组默认勾选为生效,后续新增的防护对象也会自动加入到默认防护模板中,可手动调整。

自定义防护模板

根据业务需要,自定义的防护模板。需要手动创建,适用于单一初始默认防护模板无法满足业务需求的场景。

需要设置生效对象,只对关联到防护模板的防护对象和对象组生效。

说明

未添加白名单规则的防护模板不具有防护作用,默认所有请求都需要经过WAF防护,不放行任何请求。

前提条件

步骤一:创建白名单防护模板

仅自定义防护模板需要创建白名单防护模板。如果您使用的是默认防护模板,可跳过该步骤。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,选择防护配置 > Web 核心防护

  3. Web 核心防护页面下方白名单区域,单击新建模板

  4. 新建模板 - 白名单面板,完成以下配置,单击确定

    配置项

    说明

    模板名称

    为该模板设置一个名称。

    长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    是否设置为默认模板

    默认防护模板无需设置生效对象,默认为所有防护对象/组默认勾选为生效,您也可以手动将它们从默认模板中移出。一个防护模块只允许设置一个默认模板并只能在新建模板时设置。

    对于白名单防护模板,还支持为单个防护对象/对象组配置多个防护模板,具体生效规则请参见多套防护模板应用示例

    规则配置

    您可以单击新建规则,为当前模板新建白名单规则;或者忽略该设置,在创建防护模板后,再为模板新建规则。具体操作,请参见步骤二:在白名单防护模板中添加白名单规则

    生效对象

    从已添加的配置防护对象和防护对象组中,选择要应用该模板的配置防护对象和防护对象组。

    一个防护对象或对象组可以关联多个白名单防护模板。如果您设置了默认防护模板,默认为所有防护对象/组默认勾选为生效;当您没有设置默认模板,则不会默认勾选防护对象与对象组为生效。生效对象均支持手动修改。

    新建的防护模板默认开启,您可以在防护模板列表执行如下操作:

    • 查看模板关联的防护对象/组的数量。

    • 通过模板开关,开启或关闭模板。

    • 为该模板新建规则

    • 编辑删除复制防护模板。

    • 单击防护模板名称左侧的展开图标 图标,查看该防护模板包含的规则信息。

    说明

    如下情况,WAF会自动创建一个名称为AutoTemplate的防护模板,并自动添加一条白名单规则。

    • 开启Web核心防护规则-智能加白引擎后,智能引擎通过日志分析判断存在误拦截风险,则会自动添加下发针对指定路径以及规则ID的白名单规则。更多信息,请参见智能加白引擎

    • 查看安全报表时,如果Web核心防护规则中的攻击处置为误报屏蔽,WAF会自动添加一条规则来源为自定义的白名单规则。更多信息,请参见安全报表

    • 查看安全报表时,如果将Bot管理中的攻击处置为添加至白名单,WAF会自动添加一条规则来源为自定义的白名单规则。更多信息,请参见安全报表

步骤二:在白名单防护模板中添加白名单规则

只有添加白名单规则后,白名单防护模板才具有防护作用。如果您已在白名单防护模板中添加了白名单规则,可跳过该步骤。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,选择防护配置 > Web 核心防护

  3. 白名单区域,定位到要添加白名单规则的防护模板,单击操作列下的新建规则

  4. 新建规则对话框,完成以下配置,单击确定

    配置项

    说明

    规则名称

    为该规则设置一个名称。

    支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    匹配条件

    设置该规则要匹配的请求特征。

    单击新增条件,添加一个条件。一个规则中最多可以添加五个条件。如果定义了多个条件,则只有当多个条件同时满足时,才算命中规则。

    每个条件由匹配字段逻辑符匹配内容组成。配置示例如下:

    • 示例1:匹配字段URI逻辑符包含匹配内容/login.php,表示当被请求的路径包含/login.php时,则请求命中该规则。

    • 示例2:匹配字段IP逻辑符属于匹配内容192.1X.XX.XX,表示当发起连接的客户端IP192.1.XX.XX时,则请求命中该规则。

    关于匹配字段和逻辑符的更多说明,请参见匹配条件说明

    不检测模块

    选择命中匹配条件的请求无需经过的防护模块。可选项:

    • 全部:表示命中匹配条件的请求不经过任何防护模块的检测,直接放行到源站服务器。

      该选项一般用于放行您完全信任的流量,例如受信任的漏洞扫描工具的访问、已认证的第三方系统接口的访问等。

      重要

      越精细的白名单规则安全性越高。建议您根据业务情况,选择具体的防护模块,有针对性的放行网站请求。

    • Web核心防护规则:表示命中匹配条件的请求不经过指定的Web核心防护规则的检测。

      选中Web核心防护规则后,还需要设置要忽略的规则。可选项:

      • 全部规则:默认已选择,表示忽略全部规则。

      • 特定规则ID:表示忽略指定ID的规则。

        需输入要忽略的规则ID(六位数字格式)。

        说明

        • 每输入一个规则ID,按回车进行确认。最多支持输入50个规则ID。

        • 也可以对重保场景防护中的规则ID进行白名单处理。

      • 特定规则类型:表示忽略指定类型的规则。

        需单击展开图标并选择要忽略的规则类型。

    • 自定义规则:表示命中匹配条件的请求不经过自定义规则模块的检测。

    • IP黑名单:表示命中匹配条件的请求不经过IP黑名单模块的检测。

    • 扫描防护:表示命中匹配条件的请求不经过扫描防护模块的检测。

    • Bot管理:表示命中匹配条件的请求不经过Bot管理模块的检测。

    • 网页防篡改:表示命中匹配条件的请求不经过网页防篡改模块的检测。

    • 信息泄露防护:表示命中匹配条件的请求不经过信息泄露防护模块的检测。

    • CC防护:表示命中匹配条件的请求不经过CC防护模块的检测。

    • 区域封禁:表示命中匹配条件的请求不经过区域封禁模块的检测。

    • AI应用防护:表示命中匹配条件的请求不经过AI应用防护模块的检测。

    新建的规则默认开启。您可以在规则列表执行如下操作:

    • 查看规则ID规则条件等信息。

    • 通过状态开关,开启或关闭规则。

    • 编辑删除规则。

后续步骤

您可以在安全报表页面查询防护规则的拦截记录,获取触发拦截的规则ID。更多信息,请参见安全报表

相关文档

  • 如果您想了解关于添加白名单规则时涉及的匹配条件和匹配字段,请参考匹配条件说明

  • 如果您想了解WAF 3.0的防护对象、防护模块及防护流程等信息,请参见防护配置概述

  • 如果您想使用API创建防护模板,请参见创建防护模板

  • 如果您想创建一个Web核心防护规则,并配置规则内容,请参见创建Web核心防护规则

上一篇:Web核心防护规则和规则组下一篇:设置IP黑名单规则拦截特定请求