全部產品
Search
文件中心

Web Application Firewall:自訂防護規則群組

更新時間:Dec 27, 2024

您可以使用Web Application Firewall提供的防護規則自訂搭建防護規則群組,為具體的防護功能(例如,規則防護引擎)建立有針對性的防護策略。在設定網站防護功能時,如果預設的防護規則群組不能滿足您的需求,建議您使用自訂防護規則群組。

前提條件

  • 已開通了Web Application Firewall,且執行個體滿足以下要求:
    • 使用訂用帳戶方式開通。
    • 如果執行個體地區是中国内地,則執行個體套餐必須是企業版及以上規格。
    • 如果執行個體地區是非中国内地,則執行個體套餐必須是旗艦版及以上規格。
  • 已完成網站接入。具體操作,請參見使用教程

背景資訊

目前僅規則防護引擎支援自訂防護規則群組,即您可以自訂規則防護引擎功能的防護規則群組。關於規則防護引擎的更多資訊,請參見設定規則防護引擎

使用流程

防護規則群組的使用流程如下:
  1. 建立規則群組:為具體防護功能建立自訂防護規則群組,形成有針對性的防護策略。
  2. 應用規則群組:已添加自訂防護規則群組後,您可以為網站網域名稱應用自訂防護規則群組。

建立規則群組

  1. 登入Web Application Firewall控制台

  2. 在頂部功能表列,選擇Web Application Firewall執行個體的資源群組和地區(中國內地非中國內地)。

  3. 在左側導覽列,選擇系統管理 > 防護規則群組

  4. 可選:防護規則群組頁面,單擊要操作的防護功能頁簽。
    說明 由於目前僅Web攻擊防護(對應規則防護引擎)支援防護規則群組,頁面自動跳轉到Web攻擊防護頁簽,該步驟無需手動操作。
    規則群組列表展示了Web攻擊防護(規則防護引擎)的系統規則和自訂防護規則群組。
    • 系統預設規則群組:規則群組名稱為寬鬆規則群組中等規則群組嚴格規則群組
      您可以單擊系統規則的內建規則數,查看系統規則包含的內建規則資訊。內建規則數
      說明 系統規則群組不支援編輯和刪除。
    • 自訂規則組:表示您在Web攻擊防護頁簽建立的規則群組。
  5. 單擊建立規則群組
    說明 您最多可以手動添加10個Web攻擊防護(規則防護引擎)防護規則群組。
  6. 完成建立規則群組設定精靈。
    1. 設定規則資訊。完成以下規則群組參數設定,並單擊下一步,應用到網站添加規則群組
      參數描述
      規則群組名稱設定規則群組的名稱。

      規則群組名稱用於標識當前規則群組,建議您使用有明確含義的名稱。

      規則群組模板選擇要應用的規則群組模板。可選項:
      • 嚴格規則群組
      • 中等規則群組
      • 寬鬆規則群組

      規則群組模板是系統同步更新安全防護規則的基礎,不同規則群組模板包含的規則不同。選擇規則群組模板並開啟自動更新後,應用了該模板的規則群組會自動同步規則群組模板內規則的更新。

      規則描述輸入規則群組的描述資訊。
      是否開啟自動更新開啟自動更新後,當規則群組模板包含的規則更新時,會自動同步到應用了該模板的規則群組。
      說明 部分舊版本自訂規則組不支援規則群組自動更新,建議您重新自訂規則組替換此類規則群組,實現規則群組自動更新。
      選擇規則選擇當前規則群組要應用的防護規則。

      當前已選規則列表預設展示您所選的規則群組模板中的所有規則,您需要從中選擇不適用或者可能造成誤攔截的規則並單擊移除選中規則

      您可以使用篩選和搜尋功能查詢規則,例如通過防護類型應用類型危險等級篩選規則,或者輸入規則名稱、ID搜尋規則。
      • 危險等級:表示規則防禦的Web攻擊的危險等級,包括高危中危低危
      • 防護類型:表示規則防禦的Web攻擊類型,包括SQL注入跨站指令碼代碼執行本地檔案包含遠程檔案包含webshell其它
      • 應用類型:表示規則防護的Web應用類型,包括通用WordpressDedecmsDiscuzPhpcmsEcshopShopexDrupalJoomlaMetinfoStruts2Spring BootJbossWeblogicWebsphereTomcatElastic SearchThinkphpFastjsonImageMagickPHPwindphpMyAdmin其它
      說明 如果您暫時無需應用建立的規則群組,您可以在完成規則群組配置後,單擊直接儲存,完成設定精靈,後續需要應用該規則群組的時候再編輯該規則群組即可。
    2. 可選:應用到網站。從待接入網站列表選擇要應用當前防護規則群組的網站網域名稱,添加到已接入網站列表。
      重要 每個網站網域名稱僅支援應用一個防護規則群組。
      應用到網站
    3. 單擊儲存
    完成操作後,您可以在規則群組列表中查看建立的規則群組,並根據需要設定應用防護規則群組的網站,具體操作,請參見應用規則群組

    建立規則群組後,您可以在防護規則群組列表中查看該規則群組的更新時間(即規則群組建立的時間),確定是否需要更新該規則群組。

應用規則群組

已添加自訂防護規則群組後,您可以使用以下任意一種方式應用自訂防護規則群組:
  • 防護規則群組頁面為網站應用程式自訂防護規則群組。以下操作步驟以此為例進行描述。
  • 網站防護版面設定規則防護引擎防護規則群組時,單擊下拉式清單,選擇需要該網站應用程式的自訂防護規則群組。防護規則群組

    更多資訊,請參見設定規則防護引擎

  1. 登入Web Application Firewall控制台

  2. 在頂部功能表列,選擇Web Application Firewall執行個體的資源群組和地區(中國內地非中國內地)。

  3. 在左側導覽列,選擇系統管理 > 防護規則群組

  4. 可選:防護規則群組頁面,單擊要操作的防護功能頁簽。
    說明 由於目前僅Web攻擊防護規則防護引擎)支援防護規則群組,頁面自動跳轉到Web攻擊防護頁簽,該步驟無需操作。
  5. 在規則群組列表,定位到要應用的防護規則群組,單擊其操作列下的應用到網站
  6. 應用到網站頁面,從待接入網站列表選擇要應用當前防護規則群組的網站網域名稱,添加到已接入網站列表,並單擊儲存
    重要 每個網站網域名稱僅支援應用一個防護規則群組,且必須應用一個防護規則群組。
    應用到網站
    完成操作後,您可以在規則群組列表的應用網站列,查看規則群組應用生效的網站網域名稱。應用網站

相關操作

防護規則群組頁面,您可以對已建立的規則群組執行以下操作:

  • 複製:複製某個規則群組的規則配置。

    複製規則群組的配置頁面如下圖所示,其中您可以修改規則群組名稱規則描述是否開啟自動更新,不可以修改規則群組模板和規則設定。如果您需要修改規則設定,建議您在複製完成後,編輯通過複製添加的規則群組。

    添加規則群組-複製
  • 編輯:編輯自訂防護規則群組的名稱、描述和規則配置。系統規則群組不支援編輯。
  • 刪除:刪除自訂防護規則群組。系統規則群組不支援刪除。

    刪除自訂防護規則群組前,請確保規則群組未被應用到任何網站上。如果需要刪除的規則群組被應用到網站上,您必須先為網站應用程式其他規則群組,才能刪除當前規則群組。