全部產品
Search
文件中心

Web Application Firewall:設定Web入侵防護白名單

更新時間:Jul 01, 2024

網站接入Web Application Firewall防護後,您可以通過設定Web入侵防護白名單,讓滿足指定特徵的請求不經過規則防護引擎的檢測。Web入侵防護白名單一般用於允許存取因觸發Web入侵防護相關規則被誤攔截的特殊業務請求。

前提條件

  • 已開通Web Application Firewall執行個體。

  • 已完成網站接入。具體操作,請參見使用教程

背景資訊

Web入侵防護為網站提供針對Web通用攻擊的防護能力和對0day漏洞的快速響應能力,保證網站安全性。具體操作,請參見規則防護引擎

如果上述模組開啟後對正常網站請求造成誤攔截,您可以設定Web入侵防護白名單,讓滿足條件的請求不經過指定模組的檢測。建議您在設定Web入侵防護白名單規則時,結合實際業務需求,確保允許存取的都是預期的訪問請求。

操作步驟

  1. 登入Web Application Firewall控制台

  2. 在頂部功能表列,選擇Web Application Firewall執行個體的資源群組和地區(中國內地非中國內地)。

  3. 在左側導覽列,選擇防護配置 > 網站防護

  4. 網站防護頁面上方,切換到要設定的網域名稱。切換網域名稱

  5. 單擊Web安全頁簽,定位到Web入侵防護地區,單擊右側的前去配置

  6. 建立Web入侵防護白名單規則。
    1. Web入侵防護 - 白名單頁面,單擊建立白名單
    2. 建立規則對話方塊,完成以下規則配置。web入侵防護白名單
      參數說明
      規則名稱為規則設定一個名稱。

      僅支援使用英文字元(包含大寫和小寫格式)、數字、漢字,且不能超過50個字元。

      匹配條件設定白名單請求需要滿足的條件(即特徵)。單擊新增條件可以設定最多5個條件。存在多個條件時,多個條件必須同時滿足才算命中條件。

      關於匹配條件的配置描述,請參見匹配條件欄位說明

      不檢測模組設定白名單請求不需要檢測的模組。可選值: 規則防護引擎
      選中規則防護引擎後,預設不檢測規則防護引擎中包含的全部規則。您也可以根據需要,設定只忽略檢測指定的規則、規則類型。設定方法如下:
      1. 選中規則防護引擎
      2. 可選:如果只忽略檢測指定的規則,選中特定規則ID,並輸入不檢測的規則ID。特定規則ID

        您可以在防護規則群組頁面,通過建立規則群組,查詢WAF包含的所有Web攻擊防護規則,擷取相關規則的ID。具體操作,請參見自訂防護規則群組

        每輸入一個規則ID,需要按斷行符號進行確認。最多支援輸入50個規則ID。

        說明 您也可以在安全報表頁面,通過Web入侵防護報表的誤判屏蔽功能,添加針對特定規則ID的Web入侵防護白名單規則。誤判屏蔽功能支援根據攻擊請求特徵自動產生對應的白名單規則,無需您手動設定匹配條件和查詢規則ID。關於誤判屏蔽的相關操作,請參見Web安全報表說明
      3. 可選:如果只忽略檢測指定的規則類型,選中特定規則類型,並選擇不檢測的規則類型,然後單擊確定特定規則類型
    3. 單擊儲存
    成功添加Web入侵防護白名單規則後,規則自動啟用。您可以在規則列表中查看建立的規則,並根據需要禁用、編輯或刪除規則。
    重要 白名單規則經建立後,預設永久有效。如果您不再需要某條白名單規則,可以將其禁用、刪除。

相關文檔

匹配條件欄位說明