設(shè)置規(guī)則防護引擎
規(guī)則防護引擎基于內(nèi)置的防護規(guī)則集,自動為網(wǎng)站防御SQL注入、XSS跨站、Webshell上傳、命令注入、后門隔離、非法文件請求、路徑穿越、常見應用漏洞攻擊等通用的Web攻擊。
前提條件
已開通Web應用防火墻實例。
已完成網(wǎng)站接入。具體操作,請參見使用教程。
背景信息
Web應用防火墻(WAF)的規(guī)則防護引擎默認開啟,所有接入WAF防護的網(wǎng)站業(yè)務,默認都受到規(guī)則防護引擎的檢測和防護。
規(guī)則防護引擎基于阿里云安全團隊在Web攻擊防御實踐中沉淀的大量Web核心防護規(guī)則,幫助網(wǎng)站防御各種常見的Web應用攻擊。您可以根據(jù)業(yè)務防護需要,在防護規(guī)則組的維度,設(shè)置規(guī)則防護引擎采用哪些防護規(guī)則。WAF按照防護嚴格程度,內(nèi)置了三套規(guī)則組供您選用:
中等規(guī)則組:默認選用該規(guī)則組。
寬松規(guī)則組:如需減少誤攔截,可選用該規(guī)則組。
嚴格規(guī)則組:如需提高攻擊檢測命中率,可選用該規(guī)則組。
您也可以自定義防護規(guī)則組,相關(guān)操作,請參見自定義防護規(guī)則組。
智能規(guī)則托管
規(guī)則防護引擎默認開啟智能規(guī)則托管,針對規(guī)則防護引擎可能對正常業(yè)務流量產(chǎn)生的誤攔截進行自動規(guī)避。
智能規(guī)則托管表示由規(guī)則防護引擎通過智能算法,自學習網(wǎng)站業(yè)務的歷史流量特征,并結(jié)合阿里云安全威脅情報數(shù)據(jù),自動識別不適用于防護當前業(yè)務場景或接口的規(guī)則(這類規(guī)則可能在相應場景或接口防護中產(chǎn)生誤攔截或誤報);在規(guī)則識別的基礎(chǔ)上,通過自動添加最小粒度的Web入侵防護白名單規(guī)則(一般針對某個特定的業(yè)務接口URL,忽略某個特定規(guī)則ID),確保在規(guī)避誤報的同時不擴大攻擊影響面。誤報風險消除后,規(guī)則防護引擎會自動刪除之前自動添加的Web入侵防護白名單規(guī)則。
操作步驟
登錄Web應用防火墻控制臺。
在頂部菜單欄,選擇Web應用防火墻實例的資源組和地域(中國內(nèi)地、非中國內(nèi)地)。
在左側(cè)導航欄,選擇。
在網(wǎng)站防護頁面上方,切換到要設(shè)置的域名。
單擊Web安全頁簽,定位到規(guī)則防護引擎區(qū)域,完成以下功能配置。
配置項
說明
狀態(tài)
開啟或關(guān)閉規(guī)則防護引擎。規(guī)則防護引擎默認開啟,為所有接入WAF防護的網(wǎng)站防御常見的Web應用攻擊。
您可以在安全報表頁面,通過報表,查詢規(guī)則防護引擎的攻擊命中記錄。如果您發(fā)現(xiàn)某個規(guī)則誤攔截了正常業(yè)務流量,可以通過誤報屏蔽功能,屏蔽指定的規(guī)則。更多信息,請參見Web安全報表說明。
模式
檢測發(fā)現(xiàn)攻擊請求時,對攻擊請求執(zhí)行的操作。可選值:
攔截:直接阻斷攻擊請求。
告警:只觸發(fā)告警,不阻斷攻擊請求。
智能規(guī)則托管
開啟或關(guān)閉智能規(guī)則托管。智能規(guī)則托管默認開啟,通過動態(tài)管理Web入侵防護白名單,降低誤攔截風險。
您可以在規(guī)則防護引擎配置區(qū)域,查看規(guī)則防護引擎已智能優(yōu)化XX條規(guī)則;單擊點擊查看,可跳轉(zhuǎn)到Web入侵防護 - 白名單頁面,查看規(guī)則防護引擎自動添加的白名單規(guī)則(規(guī)則來源為智能規(guī)則托管)。您可以編輯或刪除自動添加的白名單規(guī)則。
等誤報風險消除后,自動添加的白名單規(guī)則會被自動刪除。
重要如果您手動編輯過自動添加的白名單規(guī)則,該規(guī)則仍會在誤報風險消除后,被自動刪除。
您手動創(chuàng)建的Web入侵白名單規(guī)則不會被自動刪除。
防護規(guī)則組
選擇要應用的防護規(guī)則組。支持應用內(nèi)置規(guī)則組和自定義規(guī)則組。內(nèi)置規(guī)則組包括:
中等規(guī)則組:按照標準防護程度去檢測常見的Web應用攻擊。默認應用該規(guī)則組。
嚴格規(guī)則組:按照嚴格防護程度去檢測路徑穿越、SQL注入、命令執(zhí)行等Web應用攻擊。
寬松規(guī)則組:按照寬松防護程度去檢測常見Web應用攻擊。當您發(fā)現(xiàn)中等規(guī)則下存在較多誤攔截,或者業(yè)務存在較多不可控的用戶輸入(例如,富文本編輯器、技術(shù)論壇等),建議您選擇該規(guī)則組。
單擊前去配置,將跳轉(zhuǎn)到防護規(guī)則組配置頁面,您可以根據(jù)業(yè)務需要自定義防護規(guī)則組及要應用的防護規(guī)則。具體操作,請參見自定義防護規(guī)則組。
解碼設(shè)置
設(shè)置需要規(guī)則防護引擎解碼分析的內(nèi)容格式。
為保證防護效果,規(guī)則防護引擎默認對請求中所有格式類型的內(nèi)容進行解碼分析。如果您發(fā)現(xiàn)規(guī)則防護引擎經(jīng)常對業(yè)務中包含指定格式內(nèi)容的請求造成誤攔截,您可以取消解碼對應格式,針對性地降低誤殺率。
您可以展開解碼設(shè)置菜單,根據(jù)需要選中或取消選中要解碼的格式。
重要以下解碼格式不支持取消:URL解碼、JavaScript Unicode解碼、Hex解碼、注釋處理、空格壓縮。
查詢防護規(guī)則
您可以參照以下方法,查詢WAF規(guī)則防護引擎中最新添加的防護規(guī)則、查詢規(guī)則防護引擎中目前包含的所有防護規(guī)則:
查詢最新防護規(guī)則
您可以在Web應用防火墻控制臺的總覽頁面,通過應急漏洞列表,查詢規(guī)則防護引擎中最新添加的防護規(guī)則。
應急漏洞記錄展示了WAF應對互聯(lián)網(wǎng)上最新披露的安全漏洞所發(fā)布的防護規(guī)則更新。
您可以單擊某個應急漏洞記錄,查看應急漏洞防護詳情。詳情頁面展示了受該漏洞影響的網(wǎng)站域名,以及漏洞的詳情和相關(guān)的WAF防護規(guī)則信息。
查詢所有防護規(guī)則
您可以在Web應用防火墻控制臺的頁面,查詢WAF規(guī)則防護引擎包含的所有防護規(guī)則。
查詢方法如下:
在Web攻擊防護頁簽,定位到嚴格規(guī)則組,單擊內(nèi)置規(guī)則數(shù)列下的數(shù)字鏈接。
嚴格規(guī)則組是規(guī)則防護引擎下默認創(chuàng)建的一個系統(tǒng)規(guī)則組(不支持編輯),包含規(guī)則防護引擎的所有防護規(guī)則。
說明由于規(guī)則防護引擎的防護規(guī)則會動態(tài)變化,您看到的內(nèi)置規(guī)則數(shù)可能與以下截圖不一致。
在內(nèi)置規(guī)則數(shù)面板,查詢您想要了解的防護規(guī)則。
您可以通過危險等級、防護類型、應用類型篩選防護規(guī)則,或者通過規(guī)則ID、CVE ID(Common Vulnerabilities and Exposures ID)查詢某個防護規(guī)則。例如,您通過總覽或者安全報表頁面獲取到某個防護規(guī)則的ID后,可以使用規(guī)則ID查詢該規(guī)則。
規(guī)則列表向您展示了防護規(guī)則的以下信息:危險等級/規(guī)則名稱、規(guī)則ID、更新時間、應用類型、CVE ID、防護類型、規(guī)則描述。
您可以單擊具體的CVE ID,查看該規(guī)則對應的漏洞詳情。