接入Web应用防火墙(Web Application Firewall,简称WAF)后,您可以通过设置白名单规则,放行具有指定特征的请求,使请求不经过全部或特定防护模块(例如基础防护规则、IP黑名单、自定义规则、扫描防护等)的检测。本文介绍如何创建白名单规则模板并添加白名单规则。
背景信息
白名单规则模板支持默认规则模板和自定义规则模板。
规则模板 | 说明 | 生效对象 |
默认规则模板 | WAF内置的规则模板,不包含白名单规则。使用时,需要添加白名单规则。 | 无需设置生效对象,默认应用于所有未关联到自定义规则模板的防护对象和对象组(包括后续新增的、从自定义规则模板中移除的防护对象和对象组)。 |
自定义规则模板 | 根据业务需要,自定义的规则模板。创建规则模板时,需要添加白名单规则。 | 需要设置生效对象,只对关联到规则模板的防护对象和对象组生效。 |
未添加白名单规则的规则模板不具有防护作用,默认所有请求都需要经过WAF防护,不放行任何请求。
前提条件
已开通WAF 3.0服务。具体操作,请参见开通包年包月WAF 3.0、开通按量付费WAF 3.0。
已将Web业务添加为WAF 3.0的防护对象。具体操作,请参见配置防护对象和防护对象组。
步骤一:创建白名单规则模板
仅自定义防护规则模板需要创建白名单规则模板。如果您使用的是默认规则模板,可跳过该步骤。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
在Web基础防护页面下方白名单区域,单击新建模板。
说明如果您是第一次新建白名单规则模板,您也可以在Web基础防护页面上方的白名单卡片区域,单击立即配置。
在新建模板 - 白名单面板,完成以下配置,单击确定。
配置项
说明
模板名称
为该模板设置一个名称。
长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
是否设置为默认模板
选择是否将该模板设置为当前防护模块的默认模板。
一个防护模块只允许设置一个默认模板。默认模板无需设置生效对象,默认应用于所有未关联到自定义规则模板的防护对象和对象组(包括后续新增、从自定义规则模板中移除的防护对象和对象组)。
规则配置
您可以单击新建规则,为当前模板新建白名单规则;或者忽略该设置,在创建规则模板后,再为模板新建规则。具体操作,请参见步骤二:在白名单规则模板中添加白名单规则。
生效对象
从已添加的防护对象及对象组中,选择要应用该模板的防护对象和防护对象组。
一个防护对象或对象组只能关联到当前防护模块下的一个模板。关于添加防护对象和对象组的具体操作,请参见配置防护对象和防护对象组。
新建的规则模板默认开启。您可以在规则模板列表执行如下操作:
查看模板关联的防护对象/组的数量。
通过模板开关,开启或关闭模板。
编辑或删除规则模板。
单击规则模板名称左侧的图标,查看规则模板包含的规则。
步骤二:在白名单规则模板中添加白名单规则
只有添加白名单规则后,白名单规则模板才具有防护作用。如果您已在白名单规则模板中添加了白名单规则,可跳过该步骤。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
在白名单区域,定位到要添加白名单规则的规则模板,单击操作列下的新建规则。
在新建规则对话框,完成以下配置,单击确定。
配置项
说明
规则名称
为该规则设置一个名称。
支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
匹配条件
设置该规则要匹配的请求特征。
单击新增条件,添加一个条件。一个规则中最多可以添加五个条件。如果定义了多个条件,则只有当多个条件同时满足时,才算命中规则。
每个条件由匹配字段、逻辑符和匹配内容组成。配置示例如下:
示例1:匹配字段为URI、逻辑符为包含、匹配内容为
/login.php
,表示当被请求的路径包含/login.php
时,则请求命中该规则。示例2:匹配字段为IP、逻辑符为属于、匹配内容为
192.1X.XX.XX
,表示当发起连接的客户端IP为192.1.XX.XX
时,则请求命中该规则。
关于匹配字段和逻辑符的更多说明,请参见匹配条件说明。
不检测模块
选择命中匹配条件的请求无需经过的防护模块。可选项:
全部:表示命中匹配条件的请求不受任何防护模块的检测,直接放行到源站服务器。
该选项一般用于放行您完全信任的流量,例如受信任的漏洞扫描工具的访问、已认证的第三方系统接口的访问等。
重要越精细的白名单规则安全性越高。建议您根据业务情况,选择具体的防护模块,有针对性的放行网站请求。
基础防护规则:表示命中匹配条件的请求不受指定的基础防护规则的检测。
选中基础防护规则后,还需要设置要忽略的规则。可选项:
全部规则:默认已选择,表示忽略全部规则。
特定规则ID:表示忽略指定ID的规则。
需输入要忽略的规则ID(六位数字格式)。每输入一个规则ID,按回车进行确认。最多支持输入50个规则ID。
特定规则类型:表示忽略指定类型的规则。
需单击图标并选择要忽略的规则类型。
自定义规则:表示命中匹配条件的请求不受自定义规则模块的检测。
IP黑名单:表示命中匹配条件的请求不受IP黑名单模块的检测。
扫描防护:表示命中匹配条件的请求不受扫描防护模块的检测。
Bot管理:表示命中匹配条件的请求不受Bot管理模块的检测。
网页防篡改:表示命中匹配条件的请求不受网页防篡改模块的检测。
信息泄露防护:表示命中匹配条件的请求不受信息泄露防护模块的检测。
CC防护:表示命中匹配条件的请求不受CC防护模块的检测。
区域封禁:表示命中匹配条件的请求不受区域封禁模块的检测。
新建的规则默认开启。您可以在规则模板列表执行如下操作:
通过状态开关,开启或关闭规则。
编辑或删除规则。
后续步骤
您可以在安全报表页面查询防护规则的拦截记录,获取触发拦截的规则ID。更多信息,请参见安全报表。
相关文档
如果您想了解关于添加白名单规则时涉及的匹配条件和匹配字段,请参考匹配条件说明。
如果您想了解WAF 3.0的防护对象、防护模块及防护流程等信息,请参见防护配置概述。
如果您想使用API创建防护模板,请参见CreateDefenseTemplate - 创建防护模板。
如果您想创建一个基础防护规则,并配置规则内容,请参见CreateDefenseRule - 创建防护规则。