接入Web Application Firewall (WAF)3.0後,您可以通過設定引擎配置和規則庫管理,協助Web業務防禦SQL注入、XSS跨站、代碼執行、WebShell上傳、命令注入等常見的Web應用攻擊。本文介紹如何設定基礎防護規則。
北京時間2024年11月7日基礎防護規則功能更新,參見【公告】WAF 3.0基礎防護規則功能更新。本文介紹的是新版本的基礎防護,如果您使用的是舊版本的基礎防護功能請參照基礎防護規則和規則群組。
模組功能概述
基礎防護規則中每個模板使用獨立的檢測引擎。根據業務經驗,把眾多系統防護規則劃分成各個檢測模組,每個檢測模組各自負責識別不同類型的攻擊。規則模板、檢測引擎、檢測模組、規則之間的關係圖如下。
公用雲端防護情境 | 混合雲防護情境 |
功能特性
支援多種解碼
基礎防護規則支援多種不同格式的解碼,包括:
支援JSON、XML、Multipart等資料格式的解析,用以提升檢測的準確率。
支援識別使用特殊編碼(如Unicode和HTML實體)繞過安全檢查的方法,以提升攻擊的檢出率。
支援智能加白引擎
為了有效降低誤攔截風險,WAF將根據歷史業務流量進行AI學習,發現URL粒度不適用的規則,並自動添加白名單。
支援混合雲情境下的自訂防護規則
自訂防護規則僅對混合雲接入的防護對象生效。如需添加自訂防護規則,並在規則模板中使用,請參見規則庫管理。
前提條件
已開通WAF 3.0服務。如果您針對混合雲對象開啟自訂規則防護,需要開啟訂用帳戶企業版或旗艦版,具體操作,請參見開通訂用帳戶WAF 3.0、開通隨用隨付WAF 3.0。
已將Web業務添加為WAF 3.0的防護對象。具體操作,請參見配置防護對象和防護對象組。
建立規則模板
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。在左側導覽列,選擇,在基礎防護規則地區,單擊建立模板。
在建立模板 - 基礎防護規則面板,請按照以下步驟完成模板配置,配置完成後,單擊確定。
步驟一:配置模板資訊
配置項
配置欄位
說明
模板資訊
模板名稱
支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
是否設定為預設範本
預設範本無需設定生效對象,預設應用於所有未關聯到自訂規則模板的防護對象和對象組(包括後續新增、從自訂規則模板中移除的防護對象和對象組)。一個防護模組只允許設定一個預設範本並只能在建立模板的時設定。
步驟二:引擎設定
配置項
配置欄位
說明
引擎設定
檢測引擎自動更新
預設為開啟狀態,開啟後未來阿里雲安全團隊預設規則中新增或移除的規則(如0day應急規則或不再適用的規則)將對當前檢測引擎中的規則自動同步。
引擎配置
系統防護規則:基於阿里雲安全內建的檢測模組,包含超嚴格、嚴格、中等、寬鬆四種等級規則,其中超嚴格等級和嚴格等級的規則狀態預設關閉,中等等級和寬鬆等級的規則狀態預設開啟。
說明所支援的檢測模組可以參考檢測模組說明。
防護規則支援如下配置:
規則動作:選擇當請求命中該規則時,要執行的防護動作。
拦截:表示攔截命中規則的請求,並向發起請求的用戶端返回攔截響應頁面。
說明WAF預設使用統一的攔截響應頁面,您可以通過自訂響應功能,自訂攔截響應頁面。更多資訊,請參見設定自訂響應規則配置攔截響應頁面。
观察:表示不攔截命中規則的請求,只通過日誌記錄請求命中了規則。您可以通過WAF日誌,查詢命中當前規則的請求,分析規則的防護效果(例如,是否有誤攔截等)。
重要只有開通Log Service,您才可以使用日誌查詢功能。更多資訊,請參見開啟或關閉Log Service。
观察模式方便您試運行首次配置的規則,待確認規則沒有產生誤攔截後,再將規則設定為拦截模式。
說明您可以通過安全报表,查詢攔截類、觀察類防護規則的命中詳情。更多資訊,請參見安全報表。
規則狀態:可選擇開啟或關閉。若關閉,請求將不會再命中該規則。
自適應引擎
智能加白引擎:預設為關閉狀態。
自動添加的白名單規則會在白名單規則列表的AutoTemplate模板中顯示。更多資訊,請參見查看白名單。
說明僅隨用隨付版、訂用帳戶企業版或旗艦版支援該功能。
步驟三:確認生效範圍
從已添加的防護對象及對象組中,選擇要應用該模板的防护对象和防护对象组。
一個防護對象或對象組只能關聯一個基礎防護規則模板。關於添加防護對象和對象組的具體操作,請參見配置防護對象和防護對象組。
查看規則模板
在後續使用過程中,您可以單擊規則模板名稱左側的表徵圖,查看規則模板包含的引擎資訊。您可以單擊引擎配置,進入引擎配置頁面查看詳細規則的規則動作與規則狀態等資訊。
編輯規則模板
開啟與關閉規則模板
成功建立規則模板後,您可以通過模板开关,開啟或關閉模板。
更改規則模板
可以單擊目標模板操作列的編輯。完成調整後,點擊下方確認,儲存此次變更。
在混合雲防護情境下,引擎配置面板的自訂防護規則支援如下配置:
規則動作:當請求命中該規則時,要執行的防護動作。可選觀察或者攔截。
規則狀態:預設關閉,可選擇開啟或關閉。若開啟,則該設定將對規則模板生效。
刪除規則模板
您可以刪除不需要的規則模板,刪除之前請確認該模板沒有關聯的防護對象。請單擊目標模板操作列中的刪除按鈕,並在彈出提示中點擊確定。
一旦模板被刪除,系統將自動使用預設範本來保護之前由該模板防護的對象。
刪除預設範本,如果預設範本中還存在防護對象,這些防護對象將不再受到基礎防護規則保護。
查看命中記錄
您可以在安全報表頁面的基礎防護規則頁簽,查詢具體防護規則的命中記錄。更多資訊,請參見基礎防護規則。Web 核心防护頁面不支援通過規則ID搜尋具體的基礎防護規則。如需查詢具體的規則資訊可參考規則庫管理。
如果您認為某個規則誤攔截了正常業務流量,可通過白名單模組設定針對該規則的白名單規則。關於配置白名單規則的具體操作,請參見設定白名單規則允許存取特定請求。
相關文檔及說明
檢測模組說明
檢測模組中的規則能夠識別和攔截針對Web應用的各種攻擊。
相關文檔
如果您想瞭解WAF 3.0的防護對象、防護模組及防護流程等資訊,請參見防護配置概述。
如果您想使用API建立防護模板,請參見CreateDefenseTemplate - 建立防護模板。
如果您想使用OpenAPI建立一個基礎防護規則,並配置規則內容,請參見CreateDefenseRule - 建立防護規則。