您可以使用Web Application Firewall提供的防護規則自訂搭建防護規則群組,為具體的防護功能(例如,規則防護引擎)建立有針對性的防護策略。在設定網站防護功能時,如果預設的防護規則群組不能滿足您的需求,建議您使用自訂防護規則群組。
前提條件
- 已開通了Web Application Firewall,且執行個體滿足以下要求:
- 使用訂用帳戶方式開通。
- 如果執行個體地區是中国内地,則執行個體套餐必須是企業版及以上規格。
- 如果執行個體地區是非中国内地,則執行個體套餐必須是旗艦版及以上規格。
已完成網站接入。具體操作,請參見使用教程。
背景資訊
目前僅規則防護引擎支援自訂防護規則群組,即您可以自訂規則防護引擎功能的防護規則群組。關於規則防護引擎的更多資訊,請參見設定規則防護引擎。使用流程
建立規則群組
在頂部功能表列,選擇Web Application Firewall執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇 。
- 可選:在防護規則群組頁面,單擊要操作的防護功能頁簽。說明 由於目前僅Web攻擊防護(對應規則防護引擎)支援防護規則群組,頁面自動跳轉到Web攻擊防護頁簽,該步驟無需手動操作。規則群組列表展示了Web攻擊防護(規則防護引擎)的系統規則和自訂防護規則群組。
- 系統預設規則群組:規則群組名稱為寬鬆規則群組、中等規則群組、嚴格規則群組。 您可以單擊系統規則的內建規則數,查看系統規則包含的內建規則資訊。說明 系統規則群組不支援編輯和刪除。
- 自訂規則組:表示您在Web攻擊防護頁簽建立的規則群組。
- 系統預設規則群組:規則群組名稱為寬鬆規則群組、中等規則群組、嚴格規則群組。
- 單擊建立規則群組。說明 您最多可以手動添加10個Web攻擊防護(規則防護引擎)防護規則群組。
- 完成建立規則群組設定精靈。
- 設定規則資訊。完成以下規則群組參數設定,並單擊下一步,應用到網站。
參數 描述 規則群組名稱 設定規則群組的名稱。 規則群組名稱用於標識當前規則群組,建議您使用有明確含義的名稱。
規則群組模板 選擇要應用的規則群組模板。可選項: - 嚴格規則群組
- 中等規則群組
- 寬鬆規則群組
規則群組模板是系統同步更新安全防護規則的基礎,不同規則群組模板包含的規則不同。選擇規則群組模板並開啟自動更新後,應用了該模板的規則群組會自動同步規則群組模板內規則的更新。
規則描述 輸入規則群組的描述資訊。 是否開啟自動更新 開啟自動更新後,當規則群組模板包含的規則更新時,會自動同步到應用了該模板的規則群組。 說明 部分舊版本自訂規則組不支援規則群組自動更新,建議您重新自訂規則組替換此類規則群組,實現規則群組自動更新。選擇規則 選擇當前規則群組要應用的防護規則。 當前已選規則列表預設展示您所選的規則群組模板中的所有規則,您需要從中選擇不適用或者可能造成誤攔截的規則並單擊移除選中規則。
您可以使用篩選和搜尋功能查詢規則,例如通過防護類型、應用類型、危險等級篩選規則,或者輸入規則名稱、ID搜尋規則。- 危險等級:表示規則防禦的Web攻擊的危險等級,包括高危、中危、低危。
- 防護類型:表示規則防禦的Web攻擊類型,包括SQL注入、跨站指令碼、代碼執行、本地檔案包含、遠程檔案包含、webshell、其它。
- 應用類型:表示規則防護的Web應用類型,包括通用、Wordpress、Dedecms、Discuz、Phpcms、Ecshop、Shopex、Drupal、Joomla、Metinfo、Struts2、Spring Boot、Jboss、Weblogic、Websphere、Tomcat、Elastic Search、Thinkphp、Fastjson、ImageMagick、PHPwind、phpMyAdmin、其它。
說明 如果您暫時無需應用建立的規則群組,您可以在完成規則群組配置後,單擊直接儲存,完成設定精靈,後續需要應用該規則群組的時候再編輯該規則群組即可。 - 可選:應用到網站。從待接入網站列表選擇要應用當前防護規則群組的網站網域名稱,添加到已接入網站列表。重要 每個網站網域名稱僅支援應用一個防護規則群組。
- 單擊儲存。
完成操作後,您可以在規則群組列表中查看建立的規則群組,並根據需要設定應用防護規則群組的網站,具體操作,請參見應用規則群組。建立規則群組後,您可以在防護規則群組列表中查看該規則群組的更新時間(即規則群組建立的時間),確定是否需要更新該規則群組。
- 設定規則資訊。完成以下規則群組參數設定,並單擊下一步,應用到網站。
應用規則群組
已添加自訂防護規則群組後,您可以使用以下任意一種方式應用自訂防護規則群組:
- 在防護規則群組頁面為網站應用程式自訂防護規則群組。以下操作步驟以此為例進行描述。
- 在網站防護版面設定規則防護引擎防護規則群組時,單擊下拉式清單,選擇需要該網站應用程式的自訂防護規則群組。
更多資訊,請參見設定規則防護引擎。
在頂部功能表列,選擇Web Application Firewall執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇 。
- 可選:在防護規則群組頁面,單擊要操作的防護功能頁簽。說明 由於目前僅Web攻擊防護(規則防護引擎)支援防護規則群組,頁面自動跳轉到Web攻擊防護頁簽,該步驟無需操作。
- 在規則群組列表,定位到要應用的防護規則群組,單擊其操作列下的應用到網站。
- 在應用到網站頁面,從待接入網站列表選擇要應用當前防護規則群組的網站網域名稱,添加到已接入網站列表,並單擊儲存。 重要 每個網站網域名稱僅支援應用一個防護規則群組,且必須應用一個防護規則群組。完成操作後,您可以在規則群組列表的應用網站列,查看規則群組應用生效的網站網域名稱。
相關操作
在防護規則群組頁面,您可以對已建立的規則群組執行以下操作:
- 複製:複製某個規則群組的規則配置。
複製規則群組的配置頁面如下圖所示,其中您可以修改規則群組名稱、規則描述、是否開啟自動更新,不可以修改規則群組模板和規則設定。如果您需要修改規則設定,建議您在複製完成後,編輯通過複製添加的規則群組。
- 編輯:編輯自訂防護規則群組的名稱、描述和規則配置。系統規則群組不支援編輯。
- 刪除:刪除自訂防護規則群組。系統規則群組不支援刪除。
刪除自訂防護規則群組前,請確保規則群組未被應用到任何網站上。如果需要刪除的規則群組被應用到網站上,您必須先為網站應用程式其他規則群組,才能刪除當前規則群組。