全部产品
Search
文档中心

Web 应用防火墙:设置白名单规则放行特定请求

更新时间:Nov 18, 2024

接入Web应用防火墙(Web Application Firewall,简称WAF)后,您可以通过设置白名单规则,放行具有指定特征的请求,使请求不经过全部或特定防护模块(例如基础防护规则、IP黑名单、自定义规则、扫描防护等)的检测。本文介绍如何创建白名单规则模板并添加白名单规则。

背景信息

白名单规则模板支持默认规则模板和自定义规则模板。

规则模板

说明

生效对象

默认规则模板

WAF内置的规则模板,不包含白名单规则。使用时,需要添加白名单规则。

无需设置生效对象,默认应用于所有未关联到自定义规则模板的防护对象和对象组(包括后续新增的、从自定义规则模板中移除的防护对象和对象组)。

自定义规则模板

根据业务需要,自定义的规则模板。创建规则模板时,需要添加白名单规则。

需要设置生效对象,只对关联到规则模板的防护对象和对象组生效。

说明

未添加白名单规则的规则模板不具有防护作用,默认所有请求都需要经过WAF防护,不放行任何请求。

前提条件

步骤一:创建白名单规则模板

仅自定义防护规则模板需要创建白名单规则模板。如果您使用的是默认规则模板,可跳过该步骤。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,选择防护配置 > Web基础防护

  3. Web基础防护页面下方白名单区域,单击新建模板

    说明

    如果您是第一次新建白名单规则模板,您也可以在Web基础防护页面上方的白名单卡片区域,单击立即配置

  4. 新建模板 - 白名单面板,完成以下配置,单击确定

    配置项

    说明

    模板名称

    为该模板设置一个名称。

    长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    是否设置为默认模板

    选择是否将该模板设置为当前防护模块的默认模板。

    一个防护模块只允许设置一个默认模板。默认模板无需设置生效对象,默认应用于所有未关联到自定义规则模板的防护对象和对象组(包括后续新增、从自定义规则模板中移除的防护对象和对象组)。

    规则配置

    您可以单击新建规则,为当前模板新建白名单规则;或者忽略该设置,在创建规则模板后,再为模板新建规则。具体操作,请参见步骤二:在白名单规则模板中添加白名单规则

    生效对象

    从已添加的防护对象及对象组中,选择要应用该模板的防护对象防护对象组

    一个防护对象或对象组只能关联到当前防护模块下的一个模板。关于添加防护对象和对象组的具体操作,请参见配置防护对象和防护对象组

    新建的规则模板默认开启。您可以在规则模板列表执行如下操作:

    • 查看模板关联的防护对象/组的数量。

    • 通过模板开关,开启或关闭模板。

    • 编辑删除规则模板。

    • 单击规则模板名称左侧的展开图标 图标,查看规则模板包含的规则。

      说明

      如下情况,WAF会自动创建一个规则模板名称为AutoTemplate的模板,并自动添加一条白名单规则。

      • 开启基础防护规则-智能加白引擎后,智能引擎通过日志分析判断存在误拦截风险,则会自动添加下发针对指定路径以及规则ID的白名单规则。更多信息,请参见智能加白引擎

      • 查看安全报表时,如果基础防护规则中的攻击处置为误报屏蔽,WAF会自动添加一条规则来源为自定义的白名单规则。更多信息,请参见基础防护规则

      • 查看安全报表时,如果将Bot管理中的攻击处置为添加至白名单,WAF会自动添加一条规则来源为自定义的白名单规则。更多信息,请参见Bot管理

步骤二:在白名单规则模板中添加白名单规则

只有添加白名单规则后,白名单规则模板才具有防护作用。如果您已在白名单规则模板中添加了白名单规则,可跳过该步骤。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,选择防护配置 > Web基础防护

  3. 白名单区域,定位到要添加白名单规则的规则模板,单击操作列下的新建规则

  4. 新建规则对话框,完成以下配置,单击确定

    配置项

    说明

    规则名称

    为该规则设置一个名称。

    支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    匹配条件

    设置该规则要匹配的请求特征。

    单击新增条件,添加一个条件。一个规则中最多可以添加五个条件。如果定义了多个条件,则只有当多个条件同时满足时,才算命中规则。

    每个条件由匹配字段逻辑符匹配内容组成。配置示例如下:

    • 示例1:匹配字段URI逻辑符包含匹配内容/login.php,表示当被请求的路径包含/login.php时,则请求命中该规则。

    • 示例2:匹配字段IP逻辑符属于匹配内容192.1X.XX.XX,表示当发起连接的客户端IP为192.1.XX.XX时,则请求命中该规则。

    关于匹配字段和逻辑符的更多说明,请参见匹配条件说明

    不检测模块

    选择命中匹配条件的请求无需经过的防护模块。可选项:

    • 全部:表示命中匹配条件的请求不受任何防护模块的检测,直接放行到源站服务器。

      该选项一般用于放行您完全信任的流量,例如受信任的漏洞扫描工具的访问、已认证的第三方系统接口的访问等。

      重要

      越精细的白名单规则安全性越高。建议您根据业务情况,选择具体的防护模块,有针对性的放行网站请求。

    • 基础防护规则:表示命中匹配条件的请求不受指定的基础防护规则的检测。

      选中基础防护规则后,还需要设置要忽略的规则。可选项:

      • 全部规则:默认已选择,表示忽略全部规则。

      • 特定规则ID:表示忽略指定ID的规则。

        需输入要忽略的规则ID(六位数字格式)。每输入一个规则ID,按回车进行确认。最多支持输入50个规则ID。

      • 特定规则类型:表示忽略指定类型的规则。

        需单击展开图标并选择要忽略的规则类型。

    • 自定义规则:表示命中匹配条件的请求不受自定义规则模块的检测。

    • IP黑名单:表示命中匹配条件的请求不受IP黑名单模块的检测。

    • 扫描防护:表示命中匹配条件的请求不受扫描防护模块的检测。

    • Bot管理:表示命中匹配条件的请求不受Bot管理模块的检测。

    • 网页防篡改:表示命中匹配条件的请求不受网页防篡改模块的检测。

    • 信息泄露防护:表示命中匹配条件的请求不受信息泄露防护模块的检测。

    • CC防护:表示命中匹配条件的请求不受CC防护模块的检测。

    • 区域封禁:表示命中匹配条件的请求不受区域封禁模块的检测。

    新建的规则默认开启。您可以在规则模板列表执行如下操作:

    • 通过状态开关,开启或关闭规则。

    • 编辑删除规则。

后续步骤

您可以在安全报表页面查询防护规则的拦截记录,获取触发拦截的规则ID。更多信息,请参见安全报表

相关文档