規則防護引擎基於內建的防護規則集,自動為網站防禦SQL注入、XSS跨站、Webshell上傳、命令注入、後門隔離、非法檔案請求、路徑穿越、常見應用漏洞攻擊等通用的Web攻擊。
前提條件
已開通Web Application Firewall執行個體。
已完成網站接入。具體操作,請參見使用教程。
背景資訊
Web Application Firewall(WAF)的規則防護引擎預設開啟,所有接入WAF防護的網站業務,預設都受到規則防護引擎的檢測和防護。
規則防護引擎基於阿里雲安全團隊在Web攻擊防禦實踐中沉澱的大量基礎防護規則,協助網站防禦各種常見的Web應用攻擊。您可以根據業務防護需要,在防護規則群組的維度,設定規則防護引擎採用哪些防護規則。WAF按照防護嚴格程度,內建了三套規則群組供您選用:
中等規則群組:預設選用該規則群組。
寬鬆規則群組:如需減少誤攔截,可選用該規則群組。
嚴格規則群組:如需提高攻擊檢測命中率,可選用該規則群組。
您也可以自訂防護規則群組,相關操作,請參見自訂防護規則群組。
智能規則託管
規則防護引擎預設開啟智能規則託管,針對規則防護引擎可能對正常業務流量產生的誤攔截進行自動規避。
智能規則託管表示由規則防護引擎通過智能演算法,自學習網站業務的歷史流量特徵,並結合阿里雲安全威脅情報資料,自動識別不適用於防護當前業務情境或介面的規則(這類規則可能在相應情境或介面防護中產生誤攔截或誤判);在規則識別的基礎上,通過自動添加最小粒度的Web入侵防護白名單規則(一般針對某個特定的業務介面URL,忽略某個特定規則ID),確保在規避誤判的同時不擴大攻擊影響面。誤判風險消除後,規則防護引擎會自動刪除之前自動添加的Web入侵防護白名單規則。
操作步驟
在頂部功能表列,選擇Web Application Firewall執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇 。
在網站防護頁面上方,切換到要設定的網域名稱。
單擊Web安全頁簽,定位到規則防護引擎地區,完成以下功能配置。
配置項
說明
狀態
開啟或關閉規則防護引擎。規則防護引擎預設開啟,為所有接入WAF防護的網站防禦常見的Web應用攻擊。
您可以在安全報表頁面,通過Web安全報表說明。
報表,查詢規則防護引擎的攻擊命中記錄。如果您發現某個規則誤攔截了正常業務流量,可以通過誤判屏蔽功能,屏蔽指定的規則。更多資訊,請參見模式
檢測發現攻擊請求時,對攻擊請求執行的操作。可選值:
攔截:直接阻斷攻擊請求。
警示:只觸發警示,不阻斷攻擊請求。
智能規則託管
開啟或關閉智能規則託管。智能規則託管預設開啟,通過動態管理Web入侵防護白名單,降低誤攔截風險。
您可以在規則防護引擎配置地區,查看規則防護引擎已智能最佳化XX條規則;單擊點擊查看,可跳轉到Web入侵防護 - 白名單頁面,查看規則防護引擎自動添加的白名單規則(規則來源為智能規則託管)。您可以編輯或刪除自動添加的白名單規則。
等誤判風險消除後,自動添加的白名單規則會被自動刪除。
重要如果您手動編輯過自動添加的白名單規則,該規則仍會在誤判風險消除後,被自動刪除。
您手動建立的Web入侵白名單規則不會被自動刪除。
防護規則群組
選擇要應用的防護規則群組。支援應用內建規則群組和自訂規則組。內建規則群組包括:
中等規則群組:按照標準防護程度去檢測常見的Web應用攻擊。預設應用該規則群組。
嚴格規則群組:按照嚴格防護程度去檢測路徑穿越、SQL注入、命令執行等Web應用攻擊。
寬鬆規則群組:按照寬鬆防護程度去檢測常見Web應用攻擊。當您發現中等規則下存在較多誤攔截,或者業務存在較多不可控的使用者輸入(例如,富文字編輯器、技術論壇等),建議您選擇該規則群組。
單擊前去配置,將跳轉到防護規則群組配置頁面,您可以根據業務需要自訂防護規則群組及要應用的防護規則。具體操作,請參見自訂防護規則群組。
解碼設定
設定需要規則防護引擎解碼分析的內容格式。
為保證防護效果,規則防護引擎預設對請求中所有格式類型的內容進行解碼分析。如果您發現規則防護引擎經常對業務中包含指定格式內容的請求造成誤攔截,您可以取消解碼對應格式,針對性地降低誤殺率。
您可以展開解碼設定菜單,根據需要選中或取消選中要解碼的格式。
重要以下解碼格式不支援取消:URL解碼、JavaScript Unicode解碼、Hex解碼、注釋處理、空格壓縮。
預設不開啟base64解碼。
查詢防護規則
您可以參照以下方法,查詢WAF規則防護引擎中最新添加的防護規則、查詢規則防護引擎中目前包含的所有防護規則:
查詢最新防護規則
您可以在Web Application Firewall控制台的總覽頁面,通過應急漏洞列表,查詢規則防護引擎中最新添加的防護規則。
應急漏洞記錄展示了WAF應對互連網上最新披露的安全性漏洞所發布的防護規則更新。
您可以單擊某個應急漏洞記錄,查看應急漏洞防護詳情。詳情頁面展示了受該漏洞影響的網站網域名稱,以及漏洞的詳情和相關的WAF防護規則資訊。
查詢所有防護規則
您可以在Web Application Firewall控制台的 頁面,查詢WAF規則防護引擎包含的所有防護規則。
查詢方法如下:
在Web攻擊防護頁簽,定位到嚴格規則群組,單擊內建規則數列下的數字連結。
嚴格規則群組是規則防護引擎下預設建立的一個系統規則群組(不支援編輯),包含規則防護引擎的所有防護規則。
說明由於規則防護引擎的防護規則會動態變化,您看到的內建規則數可能與以下截圖不一致。
在內建規則數面板,查詢您想要瞭解的防護規則。
您可以通過危險等級、防護類型、應用類型篩選防護規則,或者通過規則ID、CVE ID(Common Vulnerabilities and Exposures ID)查詢某個防護規則。例如,您通過總覽或者安全報表頁面擷取到某個防護規則的ID後,可以使用規則ID查詢該規則。
規則列表向您展示了防護規則的以下資訊:危險等級/規則名稱、規則ID、更新時間、應用類型、CVE ID、防護類型、規則描述。
您可以單擊具體的CVE ID,查看該規則對應的漏洞詳情。