日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 Web應用防火墻 Web應用防火墻3.0 操作指南 防護配置 Web基礎防護 Web核心防護規則

Web核心防護規則

更新時間:
產品詳情
我的收藏

接入Web 應用防火墻 WAF(Web Application Firewall)3.0后,您可以通過設置引擎配置和規則庫管理,幫助Web業務防御SQL注入、XSS跨站、代碼執行、WebShell上傳、命令注入等常見的Web應用攻擊。本文介紹如何設置Web核心防護規則。

重要

北京時間2024117Web核心防護規則功能升級,參見【公告】WAF 3.0基礎防護規則功能升級。本文介紹的是新版本的核心防護,如果您使用的是舊版本的核心防護功能請參照Web核心防護規則和規則組。

模塊功能概述

Web核心防護規則中每個模板使用獨立的檢測引擎。根據業務經驗,把眾多系統防護規則劃分成各個檢測模塊,每個檢測模塊各自負責識別不同類型的攻擊。規則模板、檢測引擎、檢測模塊、規則之間的關系圖如下。

公有云防護場景

混合云防護場景

imageimage

功能特性

支持多種解碼

Web核心防護規則支持多種不同格式的解碼,包括:

  • 支持JSON、XML、Multipart等數據格式的解析,用以提升檢測的準確率。

  • 支持識別使用特殊編碼(如UnicodeHTML實體)繞過安全檢查的方法,以提升攻擊的檢出率。

支持智能加白引擎

為了有效降低誤攔截風險,WAF將根據歷史業務流量進行AI學習,發現URL粒度不適用的規則,并自動添加白名單。

支持混合云場景下的自定義防護規則

自定義防護規則僅對混合云接入的防護對象生效。如需添加自定義防護規則,并在規則模板中使用,請參見規則庫管理。

前提條件

創建規則模板

  1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地。在左側導航欄,選擇防護配置 > Web核心防護,Web核心防護規則區域,單擊新建模板

  2. 新建模板 - Web核心防護規則面板,請按照以下步驟完成模板配置,配置完成后,單擊確定。

    1. 步驟一:配置模板信息

      配置項

      配置字段

      說明

      模板信息

      模板名稱

      支持中文和大小寫英文字母,可包含數字、半角句號(.)、下劃線(_)和短劃線(-)。

      是否設置為默認模板

      默認模板無需設置生效對象,默認應用于所有未關聯到自定義規則模板的防護對象和對象組(包括后續新增、從自定義規則模板中移除的防護對象和對象組)。一個防護模塊只允許設置一個默認模板并只能在新建模板的時設置。

    2. 步驟二:引擎設置

      配置項

      配置字段

      說明

      引擎設置

      檢測引擎自動更新

      默認為開啟狀態,開啟后未來阿里云安全團隊默認規則中新增或移除的規則(如0day應急規則或不再適用的規則)將對當前檢測引擎中的規則自動同步。

      引擎配置

      系統防護規則:基于阿里云安全內置的檢測模塊,包含超嚴格、嚴格、中等、寬松四種等級規則,其中超嚴格等級和嚴格等級的規則狀態默認關閉,中等等級和寬松等級的規則狀態默認開啟。

      說明

      所支持的檢測模塊可以參考檢測模塊說明。

      防護規則支持如下配置:

      • 規則動作:選擇當請求命中該規則時,要執行的防護動作。

        • 攔截:表示攔截命中規則的請求,并向發起請求的客戶端返回攔截響應頁面。

          說明

          WAF默認使用統一的攔截響應頁面,您可以通過自定義響應功能,自定義攔截響應頁面。更多信息,請參見設置自定義響應規則配置攔截響應頁面。

        • 觀察:表示不攔截命中規則的請求,只通過日志記錄請求命中了規則。您可以通過WAF日志,查詢命中當前規則的請求,分析規則的防護效果(例如,是否有誤攔截等)。

          重要

          只有開通日志服務,您才可以使用日志查詢功能。更多信息,請參見開啟或關閉日志服務。

          觀察模式方便您試運行首次配置的規則,待確認規則沒有產生誤攔截后,再將規則設置為攔截模式。

        說明

        您可以通過安全報表,查詢攔截類、觀察類防護規則的命中詳情。更多信息,請參見安全報表。

      • 規則狀態:可選擇開啟或關閉。若關閉,請求將不會再命中該規則。

      自適應引擎

      智能加白引擎:默認為關閉狀態。

      自動添加的白名單規則會在白名單規則列表的AutoTemplate模板中顯示。更多信息,請參見查看白名單

      說明

      僅按量付費版、包年包月企業版或旗艦版支持該功能。

    3. 步驟三:確認生效范圍

      從已添加的防護對象及對象組中,選擇要應用該模板的防護對象防護對象組

      一個防護對象或對象組只能關聯一個Web核心防護規則模板。關于添加防護對象和對象組的具體操作,請參見配置防護對象和防護對象組。

查看規則模板

在后續使用過程中,您可以單擊規則模板名稱左側的展開圖標 圖標,查看規則模板包含的引擎信息。您可以單擊引擎配置,進入引擎配置頁面查看詳細規則的規則動作與規則狀態等信息。

編輯規則模板

開啟與關閉規則模板

成功創建規則模板后,您可以通過模板開關,開啟或關閉模板。

更改規則模板

可以單擊目標模板操作列的編輯。完成調整后,點擊下方確認,保存此次變更。

說明

在混合云防護場景下,引擎配置面板的自定義防護規則支持如下配置:

  • 規則動作:當請求命中該規則時,要執行的防護動作??蛇x觀察或者攔截。

  • 規則狀態:默認關閉,可選擇開啟或關閉。若開啟,則該設置將對規則模板生效。

刪除規則模板

您可以刪除不需要的規則模板,刪除之前請確認該模板沒有關聯的防護對象。請單擊目標模板操作列中的刪除按鈕,并在彈出提示中點擊確定

重要

  • 一旦模板被刪除,系統將自動使用默認模板來保護之前由該模板防護的對象。

  • 刪除默認模板,如果默認模板中還存在防護對象,這些防護對象將不再受到Web核心防護規則保護。

查看命中記錄

您可以在安全報表頁面的Web核心防護規則頁簽,查詢具體防護規則的命中記錄。更多信息,請參見基礎防護規則。Web核心防護頁面不支持通過規則ID搜索具體的Web核心防護規則。如需查詢具體的規則信息可參考規則庫管理。

重要

如果您認為某個規則誤攔截了正常業務流量,可通過白名單模塊設置針對該規則的白名單規則。關于配置白名單規則的具體操作,請參見設置白名單規則放行特定請求

相關文檔及說明

檢測模塊說明

檢測模塊中的規則能夠識別和攔截針對Web應用的各種攻擊。

支持防護的攻擊類型

攻擊類型

說明

SQL注入

SQL注入是一種通過將惡意SQL代碼注入到查詢語句中,來操縱數據庫執行攻擊者希望的操作的攻擊方式。

跨站腳本(XSS)

跨站腳本(XSS)攻擊是一種通過在網頁中嵌入惡意腳本,使其他用戶在瀏覽網頁時執行這些腳本的攻擊方式。

代碼執行

代碼執行攻擊是指利用注入的惡意代碼,使服務器執行這些代碼,從而實現攻擊目的。

CRLF注入

一種通過在HTTP頭部插入回車符(CR, \r)和換行符(LF, \n),以操縱HTTP響應或進行HTTP響應分割攻擊(HTTP Response Splitting)的攻擊方式。

本地文件包含(LFI)

是指當服務器開啟allow_url_include選項時,就可以通過PHP的某些特性函數(include(),require()和include_once(),requir_once())利用URL去動態包含文件,此時如果沒有對文件來源進行嚴格審查,就會導致任意文件讀取或者任意命令執行。

遠程文件包含(RFI)

遠程文件包含(RFI)攻擊通過包含遠程服務器上的文件,使得攻擊者能夠在本地服務器上執行遠程惡意代碼。

Webshell

Webshell是一種惡意腳本文件,通過上傳或注入這些文件,攻擊者可以遠程控制服務器。

OS命令注入

操作系統命令注入攻擊通過在程序中嵌入惡意操作系統命令,使服務器執行這些命令,從而實現攻擊目的。

掃描器行為

這通常指的是Web應用程序掃描器的行為和特點。這些工具自動化地掃描Web應用以發現潛在的安全漏洞。它們定位常見的漏洞如SQL注入、跨站腳本(XSS)等,通過生成并發送大量請求來分析應用的響應。

業務邏輯缺陷

業務邏輯缺陷是應用程序在實現其業務流程時存在的漏洞。這些漏洞通常不能通過傳統的輸入驗證和輸出編碼來防御。它們可能允許攻擊者通過操縱應用程序的正常工作流程來實現未授權訪問或其他惡意行為。

任意文件讀取

任意文件讀取漏洞允許攻擊者讀取系統上任何文件,通常通過HTTP請求中的文件路徑參數。利用這種漏洞,攻擊者可以訪問敏感信息,如配置文件、憑證和個人數據。

任意文件下載

任意文件下載漏洞類似于任意文件讀取,但它專注于允許攻擊者下載系統上的任意文件。這可能導致敏感信息泄露,甚至使攻擊者獲取系統的完整備份以進行脫機分析。

外部實體注入

XXE漏洞利用XML解析器在解析外部實體時的特性,允許攻擊者讀取系統文件、執行服務器端請求(SSRF)或導致拒絕服務(DoS)。這種攻擊通常通過包含惡意外部實體的XML輸入實現。

跨站請求偽造

CSRF攻擊通過欺騙認證用戶向Web應用程序發送未經授權的請求來執行惡意操作。通常,攻擊者會誘騙用戶點擊惡意鏈接或訪問惡意網頁,從而在用戶的身份下執行某些操作,如更改設置或提交表單。

表達式注入

表達式注入攻擊是指通過嵌入惡意表達式,使服務器執行這些表達式,從而實現攻擊目的。

.net反序列化

反序列化是將數據從一種格式(例如JSON、XML或二進制)轉換回對象的過程。在.NET應用中,不安全的反序列化可能導致任意代碼執行。如果攻擊者能夠控制反序列化的數據,他們可能會注入惡意數據,從而執行任意代碼。

Java反序列化

Java反序列化攻擊通過反序列化惡意對象,使服務器在反序列化過程中執行惡意代碼。

PHP反序列化

PHP反序列化攻擊通過反序列化惡意對象,使服務器在反序列化過程中執行惡意代碼。

SSRF(服務器端請求偽造)

服務器端請求偽造(SSRF)攻擊通過偽造服務器端請求,使服務器訪問內部或外部資源,從而實現攻擊目的。

路徑穿透

路徑穿透攻擊通過注入相對路徑(如../),訪問服務器上的不應公開的文件。

協議違背

協議違背是通過惡意操縱協議(如HTTP、HTTPS等)的方式,進行攻擊或繞過安全機制。

任意文件上傳

任意文件上傳攻擊通過上傳惡意文件,使服務器執行這些文件,從而實現攻擊目的。

相關文檔