全部產品
Search

搜尋本產品

    Web Application Firewall:設定規則防護引擎

    文件中心

    Web Application Firewall:設定規則防護引擎

    更新時間:Jul 01, 2024

    規則防護引擎基於內建的防護規則集,自動為網站防禦SQL注入、XSS跨站、Webshell上傳、命令注入、後門隔離、非法檔案請求、路徑穿越、常見應用漏洞攻擊等通用的Web攻擊。

    前提條件

    • 已開通Web Application Firewall執行個體。

    • 已完成網站接入。具體操作,請參見使用教程

    背景資訊

    Web Application Firewall(WAF)的規則防護引擎預設開啟,所有接入WAF防護的網站業務,預設都受到規則防護引擎的檢測和防護。

    規則防護引擎基於阿里雲安全團隊在Web攻擊防禦實踐中沉澱的大量基礎防護規則,協助網站防禦各種常見的Web應用攻擊。您可以根據業務防護需要,在防護規則群組的維度,設定規則防護引擎採用哪些防護規則。WAF按照防護嚴格程度,內建了三套規則群組供您選用:

    • 中等規則群組:預設選用該規則群組。

    • 寬鬆規則群組:如需減少誤攔截,可選用該規則群組。

    • 嚴格規則群組:如需提高攻擊檢測命中率,可選用該規則群組。

    您也可以自訂防護規則群組,相關操作,請參見自訂防護規則群組

    智能規則託管

    規則防護引擎預設開啟智能規則託管,針對規則防護引擎可能對正常業務流量產生的誤攔截進行自動規避。

    智能規則託管表示由規則防護引擎通過智能演算法,自學習網站業務的歷史流量特徵,並結合阿里雲安全威脅情報資料,自動識別不適用於防護當前業務情境或介面的規則(這類規則可能在相應情境或介面防護中產生誤攔截或誤判);在規則識別的基礎上,通過自動添加最小粒度的Web入侵防護白名單規則(一般針對某個特定的業務介面URL,忽略某個特定規則ID),確保在規避誤判的同時不擴大攻擊影響面。誤判風險消除後,規則防護引擎會自動刪除之前自動添加的Web入侵防護白名單規則。

    操作步驟

    1. 登入Web Application Firewall控制台

    2. 在頂部功能表列,選擇Web Application Firewall執行個體的資源群組和地區(中國內地非中國內地)。

    3. 在左側導覽列,選擇防護配置 > 網站防護

    4. 網站防護頁面上方,切換到要設定的網域名稱。切換網域名稱

    5. 單擊Web安全頁簽,定位到規則防護引擎地區,完成以下功能配置。Web應用攻擊防護

      配置項

      說明

      狀態

      開啟或關閉規則防護引擎。規則防護引擎預設開啟,為所有接入WAF防護的網站防禦常見的Web應用攻擊。

      您可以在安全報表頁面,通過Web安全 > Web入侵防護報表,查詢規則防護引擎的攻擊命中記錄。如果您發現某個規則誤攔截了正常業務流量,可以通過誤判屏蔽功能,屏蔽指定的規則。更多資訊,請參見Web安全報表說明

      誤判屏蔽

      模式

      檢測發現攻擊請求時,對攻擊請求執行的操作。可選值:

      • 攔截:直接阻斷攻擊請求。

      • 警示:只觸發警示,不阻斷攻擊請求。

      智能規則託管

      開啟或關閉智能規則託管。智能規則託管預設開啟,通過動態管理Web入侵防護白名單,降低誤攔截風險。

      您可以在規則防護引擎配置地區,查看規則防護引擎已智能最佳化XX條規則;單擊點擊查看,可跳轉到Web入侵防護 - 白名單頁面,查看規則防護引擎自動添加的白名單規則(規則來源智能規則託管)。您可以編輯或刪除自動添加的白名單規則。智能規則託管

      等誤判風險消除後,自動添加的白名單規則會被自動刪除。

      重要

      • 如果您手動編輯過自動添加的白名單規則,該規則仍會在誤判風險消除後,被自動刪除。

      • 您手動建立的Web入侵白名單規則不會被自動刪除。

      防護規則群組

      選擇要應用的防護規則群組。支援應用內建規則群組和自訂規則組。內建規則群組包括:

      • 中等規則群組:按照標準防護程度去檢測常見的Web應用攻擊。預設應用該規則群組。

      • 嚴格規則群組:按照嚴格防護程度去檢測路徑穿越、SQL注入、命令執行等Web應用攻擊。

      • 寬鬆規則群組:按照寬鬆防護程度去檢測常見Web應用攻擊。當您發現中等規則下存在較多誤攔截,或者業務存在較多不可控的使用者輸入(例如,富文字編輯器、技術論壇等),建議您選擇該規則群組。

      單擊前去配置,將跳轉到防護規則群組配置頁面,您可以根據業務需要自訂防護規則群組及要應用的防護規則。具體操作,請參見自訂防護規則群組

      解碼設定

      設定需要規則防護引擎解碼分析的內容格式。

      為保證防護效果,規則防護引擎預設對請求中所有格式類型的內容進行解碼分析。如果您發現規則防護引擎經常對業務中包含指定格式內容的請求造成誤攔截,您可以取消解碼對應格式,針對性地降低誤殺率。

      您可以展開解碼設定菜單,根據需要選中或取消選中要解碼的格式。

      重要

      • 以下解碼格式不支援取消:URL解碼JavaScript Unicode解碼Hex解碼注釋處理空格壓縮

      • 預設不開啟base64解碼

      image

    查詢防護規則

    您可以參照以下方法,查詢WAF規則防護引擎中最新添加的防護規則、查詢規則防護引擎中目前包含的所有防護規則:

    • 查詢最新防護規則

      您可以在Web Application Firewall控制台總覽頁面,通過應急漏洞列表,查詢規則防護引擎中最新添加的防護規則。

      應急漏洞記錄展示了WAF應對互連網上最新披露的安全性漏洞所發布的防護規則更新。

      您可以單擊某個應急漏洞記錄,查看應急漏洞防護詳情。詳情頁面展示了受該漏洞影響的網站網域名稱,以及漏洞的詳情和相關的WAF防護規則資訊。

    • 查詢所有防護規則

      您可以在Web Application Firewall控制台系統管理 > 防護規則群組頁面,查詢WAF規則防護引擎包含的所有防護規則。

      查詢方法如下:

      1. Web攻擊防護頁簽,定位到嚴格規則群組,單擊內建規則數列下的數字連結。

        嚴格規則群組是規則防護引擎下預設建立的一個系統規則群組(不支援編輯),包含規則防護引擎的所有防護規則。

        說明

        由於規則防護引擎的防護規則會動態變化,您看到的內建規則數可能與以下截圖不一致。

        嚴格規則群組

      2. 內建規則數面板,查詢您想要瞭解的防護規則。

        您可以通過危險等級防護類型應用類型篩選防護規則,或者通過規則IDCVE ID(Common Vulnerabilities and Exposures ID)查詢某個防護規則。例如,您通過總覽或者安全報表頁面擷取到某個防護規則的ID後,可以使用規則ID查詢該規則。

        內建規則數

        規則列表向您展示了防護規則的以下資訊:危險等級/規則名稱規則ID更新時間應用類型CVE ID防護類型規則描述

        您可以單擊具體的CVE ID,查看該規則對應的漏洞詳情。