接入Web Application Firewall(Web Application Firewall,簡稱WAF)後,您可以通過設定白名單規則,允許存取具有指定特徵的請求,使請求不經過全部或特定防護模組(例如Web核心防護規則、IP黑名單、自訂規則、掃描防護等)的檢測。本文介紹如何建立白名單規則模板並添加白名單規則。
背景資訊
白名單規則模板支援預設規則模板和自訂規則模板。
規則模板 | 說明 | 生效對象 |
預設規則模板 | WAF內建的規則模板,不包含白名單規則。使用時,需要添加白名單規則。 | 無需設定生效對象,預設應用於所有未關聯到自訂規則模板的防護對象和對象組(包括後續新增的、從自訂規則模板中移除的防護對象和對象組)。 |
自訂規則模板 | 根據業務需要,自訂的規則模板。建立規則模板時,需要添加白名單規則。 | 需要設定生效對象,只對關聯到規則模板的防護對象和對象組生效。 |
未添加白名單規則的規則模板不具有防護作用,預設所有請求都需要經過WAF防護,不允許存取任何請求。
前提條件
已開通WAF 3.0服務。具體操作,請參見開通訂用帳戶WAF 3.0、開通隨用隨付WAF 3.0。
已將Web業務添加為WAF 3.0的防護對象。具體操作,請參見配置防護對象和防護對象組。
步驟一:建立白名單規則模板
僅自訂防護規則模板需要建立白名單規則模板。如果您使用的是預設規則模板,可跳過該步驟。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
在Web 核心防护頁面下方白名单地區,單擊新建模板。
說明如果您是第一次建立白名單規則模板,您也可以在Web 核心防护頁面上方的白名单卡片地區,單擊立即配置。
在建立模板 - 白名單面板,完成以下配置,單擊確定。
配置項
說明
模板名稱
為該模板設定一個名稱。
長度為1~255個字元,支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
是否設定為預設範本
選擇是否將該模板設定為當前防護模組的預設範本。
一個防護模組只允許設定一個預設範本。預設範本無需設定生效对象,預設應用於所有未關聯到自訂規則模板的防護對象和對象組(包括後續新增、從自訂規則模板中移除的防護對象和對象組)。
規則配置
您可以單擊建立規則,為當前模板建立白名單規則;或者忽略該設定,在建立規則模板後,再為模板建立規則。具體操作,請參見步驟二:在白名單規則模板中添加白名單規則。
生效對象
從已添加的防護對象及對象組中,選擇要應用該模板的防护对象和防护对象组。
一個防護對象或對象組只能關聯到當前防護模組下的一個模板。關於添加防護對象和對象組的具體操作,請參見配置防護對象和防護對象組。
建立的規則模板預設開啟。您可以在規則模板列表執行如下操作:
查看模板關聯的防护对象/组的數量。
通過模板开关,開啟或關閉模板。
编辑或删除規則模板。
單擊規則模板名稱左側的
表徵圖,查看規則模板包含的規則。
步驟二:在白名單規則模板中添加白名單規則
只有添加白名單規則後,白名單規則模板才具有防護作用。如果您已在白名單規則模板中添加了白名單規則,可跳過該步驟。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
在白名單地區,定位到要添加白名單規則的規則模板,單擊操作列下的建立規則。
在建立規則對話方塊,完成以下配置,單擊確定。
配置項
說明
規則名稱
為該規則設定一個名稱。
支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
匹配條件
設定該規則要匹配的請求特徵。
單擊新增条件,添加一個條件。一個規則中最多可以添加五個條件。如果定義了多個條件,則只有當多個條件同時滿足時,才算命中規則。
每個條件由匹配字段、逻辑符和匹配内容組成。配置樣本如下:
樣本1:匹配字段為URI、逻辑符為包含、匹配内容為
/login.php,表示當被請求的路徑包含/login.php時,則請求命中該規則。樣本2:匹配字段為IP、逻辑符為屬於、匹配内容為
192.1X.XX.XX,表示當發起串連的用戶端IP為192.1.XX.XX時,則請求命中該規則。
關於匹配欄位和邏輯符的更多說明,請參見匹配條件說明。
不檢測模組
選擇命中匹配條件的請求無需經過的防護模組。可選項:
全部:表示命中匹配條件的請求不受任何防護模組的檢測,直接允許存取到來源站點伺服器。
該選項一般用於允許存取您完全信任流量,例如受信任的漏洞掃描工具的訪問、已認證的第三方系統介面的訪問等。
重要越精細的白名單規則安全性越高。建議您根據業務情況,選擇具體的防護模組,有針對性的允許存取網站請求。
Web核心防護規則:表示命中匹配條件的請求不受指定的Web核心防護規則的檢測。
選中Web核心防護規則後,還需要設定要忽略的規則。可選項:
全部規則:預設已選擇,表示忽略全部規則。
特定規則ID:表示忽略指定ID的規則。
需輸入要忽略的規則ID(六位元字格式)。每輸入一個規則ID,按斷行符號進行確認。最多支援輸入50個規則ID。
特定規則類型:表示忽略指定類型的規則。
需單擊
表徵圖並選擇要忽略的規則類型。
自訂規則:表示命中匹配條件的請求不受自訂規則模組的檢測。
IP黑名單:表示命中匹配條件的請求不受IP黑名單模組的檢測。
掃描防護:表示命中匹配條件的請求不受掃描防護模組的檢測。
Bot管理:表示命中匹配條件的請求不受Bot管理模組的檢測。
網頁防篡改:表示命中匹配條件的請求不受網頁防篡改模組的檢測。
資訊泄露防護:表示命中匹配條件的請求不受資訊泄露防護模組的檢測。
CC防護:表示命中匹配條件的請求不受CC防護模組的檢測。
地區封鎖:表示命中匹配條件的請求不受地區封鎖模組的檢測。
建立的規則預設開啟。您可以在規則模板列表執行如下操作:
通過狀態開關,開啟或關閉規則。
編輯或刪除規則。
後續步驟
您可以在安全報表頁面查詢防護規則的攔截記錄,擷取觸發攔截的規則ID。更多資訊,請參見安全報表。
相關文檔
如果您想瞭解關於添加白名單規則時涉及的匹配條件和匹配欄位,請參考匹配條件說明。
如果您想瞭解WAF 3.0的防護對象、防護模組及防護流程等資訊,請參見防護配置概述。
如果您想使用API建立防護模板,請參見CreateDefenseTemplate - 建立防護模板。
如果您想建立一個Web核心防護規則,並配置規則內容,請參見CreateDefenseRule - 建立防護規則。