您可以使用Web應用防火墻提供的防護規則自定義搭建防護規則組,為具體的防護功能(例如,規則防護引擎)創建有針對性的防護策略。在設置網站防護功能時,如果默認的防護規則組不能滿足您的需求,建議您使用自定義防護規則組。

前提條件

  • 已開通了Web應用防火墻,且實例滿足以下要求:
    • 使用包年包月方式開通。
      說明 按量付費開通的Web應用防火墻實例暫不支持使用防護規則組。
    • 如果實例地域是中國內地,則實例套餐必須是企業版及以上規格。
    • 如果實例地域是非中國內地,則實例套餐必須是旗艦版及以上規格。
  • 已完成網站接入。具體操作,請參見使用教程

背景信息

目前僅規則防護引擎支持自定義防護規則組,即您可以自定義規則防護引擎功能的防護規則組。關于規則防護引擎的更多信息,請參見設置規則防護引擎

使用流程

防護規則組的使用流程如下:
  1. 新建規則組:為具體防護功能創建自定義防護規則組,形成有針對性的防護策略。
  2. 應用規則組:已添加自定義防護規則組后,您可以為網站域名應用自定義防護規則組。

新建規則組

  1. 登錄Web應用防火墻控制臺
  2. 在頂部菜單欄,選擇Web應用防火墻實例的資源組和地域(中國內地非中國內地)。
  3. 在左側導航欄,選擇系統管理 > 防護規則組
  4. 可選:防護規則組頁面,單擊要操作的防護功能頁簽。
    說明 由于目前僅Web攻擊防護(對應規則防護引擎)支持防護規則組,頁面自動跳轉到Web攻擊防護頁簽,該步驟無需手動操作。
    規則組列表展示了Web攻擊防護(規則防護引擎)的系統規則和自定義防護規則組。
    • 系統默認規則組:規則組名稱為寬松規則組中等規則組嚴格規則組
      您可以單擊系統規則的內置規則數,查看系統規則包含的內置規則信息。內置規則數
      說明 系統規則組不支持編輯和刪除。
    • 自定義規則組:表示您在Web攻擊防護頁簽新建的規則組。
  5. 單擊新建規則組
    說明 您最多可以手動添加10Web攻擊防護(規則防護引擎)防護規則組。
  6. 完成新建規則組配置向導。
    1. 設置規則信息。完成以下規則組參數設置,并單擊下一步,應用到網站添加規則組
      參數描述
      規則組名稱設置規則組的名稱。

      規則組名稱用于標識當前規則組,建議您使用有明確含義的名稱。

      規則組模板選擇要應用的規則組模板。可選項:
      • 嚴格規則組
      • 中等規則組
      • 寬松規則組

      規則組模板是系統同步更新安全防護規則的基礎,不同規則組模板包含的規則不同。選擇規則組模板并開啟自動更新后,應用了該模板的規則組會自動同步規則組模板內規則的更新。

      規則描述輸入規則組的描述信息。
      是否開啟自動更新開啟自動更新后,當規則組模板包含的規則更新時,會自動同步到應用了該模板的規則組。
      說明 部分舊版本自定義規則組不支持規則組自動更新,建議您重新自定義規則組替換此類規則組,實現規則組自動更新。
      選擇規則選擇當前規則組要應用的防護規則。

      當前已選規則列表默認展示您所選的規則組模板中的所有規則,您需要從中選擇不適用或者可能造成誤攔截的規則并單擊移除選中規則

      您可以使用篩選和搜索功能查詢規則,例如通過防護類型應用類型危險等級篩選規則,或者輸入規則名稱、ID搜索規則。
      • 危險等級:表示規則防御的Web攻擊的危險等級,包括高危中危低危
      • 防護類型:表示規則防御的Web攻擊類型,包括SQL注入跨站腳本代碼執行本地文件包含遠程文件包含webshell其它
      • 應用類型:表示規則防護的Web應用類型,包括通用WordpressDedecmsDiscuzPhpcmsEcshopShopexDrupalJoomlaMetinfoStruts2Spring BootJbossWeblogicWebsphereTomcatElastic SearchThinkphpFastjsonImageMagickPHPwindphpMyAdmin其它
      說明 如果您暫時無需應用新建的規則組,您可以在完成規則組配置后,單擊直接保存,完成配置向導,后續需要應用該規則組的時候再編輯該規則組即可。
    2. 可選:應用到網站。從待接入網站列表選擇要應用當前防護規則組的網站域名,添加到已接入網站列表。
      重要 每個網站域名僅支持應用一個防護規則組。
      應用到網站
    3. 單擊保存
    完成操作后,您可以在規則組列表中查看新建的規則組,并根據需要設置應用防護規則組的網站,具體操作,請參見應用規則組

    創建規則組后,您可以在防護規則組列表中查看該規則組的更新時間(即規則組創建的時間),確定是否需要更新該規則組。

應用規則組

已添加自定義防護規則組后,您可以使用以下任意一種方式應用自定義防護規則組:
  • 防護規則組頁面為網站應用自定義防護規則組。以下操作步驟以此為例進行描述。
  • 網站防護頁面設置規則防護引擎防護規則組時,單擊下拉列表,選擇需要該網站應用的自定義防護規則組。防護規則組

    更多信息,請參見設置規則防護引擎

  1. 登錄Web應用防火墻控制臺
  2. 在頂部菜單欄,選擇Web應用防火墻實例的資源組和地域(中國內地非中國內地)。
  3. 在左側導航欄,選擇系統管理 > 防護規則組
  4. 可選:防護規則組頁面,單擊要操作的防護功能頁簽。
    說明 由于目前僅Web攻擊防護規則防護引擎)支持防護規則組,頁面自動跳轉到Web攻擊防護頁簽,該步驟無需操作。
  5. 在規則組列表,定位到要應用的防護規則組,單擊其操作列下的應用到網站
  6. 應用到網站頁面,從待接入網站列表選擇要應用當前防護規則組的網站域名,添加到已接入網站列表,并單擊保存
    重要 每個網站域名僅支持應用一個防護規則組,且必須應用一個防護規則組。
    應用到網站
    完成操作后,您可以在規則組列表的應用網站列,查看規則組應用生效的網站域名。應用網站

相關操作

防護規則組頁面,您可以對已創建的規則組執行以下操作:

  • 復制:復制某個規則組的規則配置。

    復制規則組的配置頁面如下圖所示,其中您可以修改規則組名稱規則描述是否開啟自動更新,不可以修改規則組模板和規則設置。如果您需要修改規則設置,建議您在復制完成后,編輯通過復制添加的規則組。

    添加規則組-復制
  • 編輯:編輯自定義防護規則組的名稱、描述和規則配置。系統規則組不支持編輯。
  • 刪除:刪除自定義防護規則組。系統規則組不支持刪除。

    刪除自定義防護規則組前,請確保規則組未被應用到任何網站上。如果需要刪除的規則組被應用到網站上,您必須先為網站應用其他規則組,才能刪除當前規則組。