接入Web應用防火墻(Web Application Firewall,簡稱WAF)后,您可以通過設置白名單規(guī)則,放行具有指定特征的請求,使請求不經過全部或特定防護模塊(例如基礎防護規(guī)則、IP黑名單、自定義規(guī)則、掃描防護等)的檢測。本文介紹如何創(chuàng)建白名單規(guī)則模板并添加白名單規(guī)則。
背景信息
白名單規(guī)則模板支持默認規(guī)則模板和自定義規(guī)則模板。
規(guī)則模板 | 說明 | 生效對象 |
默認規(guī)則模板 | WAF內置的規(guī)則模板,不包含白名單規(guī)則。使用時,需要添加白名單規(guī)則。 | 無需設置生效對象,默認應用于所有未關聯到自定義規(guī)則模板的防護對象和對象組(包括后續(xù)新增的、從自定義規(guī)則模板中移除的防護對象和對象組)。 |
自定義規(guī)則模板 | 根據業(yè)務需要,自定義的規(guī)則模板。創(chuàng)建規(guī)則模板時,需要添加白名單規(guī)則。 | 需要設置生效對象,只對關聯到規(guī)則模板的防護對象和對象組生效。 |
未添加白名單規(guī)則的規(guī)則模板不具有防護作用,默認所有請求都需要經過WAF防護,不放行任何請求。
前提條件
已開通WAF 3.0服務。具體操作,請參見開通包年包月WAF 3.0、開通按量付費WAF 3.0。
已將Web業(yè)務添加為WAF 3.0的防護對象。具體操作,請參見配置防護對象和防護對象組。
步驟一:創(chuàng)建白名單規(guī)則模板
僅自定義防護規(guī)則模板需要創(chuàng)建白名單規(guī)則模板。如果您使用的是默認規(guī)則模板,可跳過該步驟。
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇。
在Web基礎防護頁面下方白名單區(qū)域,單擊新建模板。
說明如果您是第一次新建白名單規(guī)則模板,您也可以在Web基礎防護頁面上方的白名單卡片區(qū)域,單擊立即配置。
在新建模板 - 白名單面板,完成以下配置,單擊確定。
配置項
說明
模板名稱
為該模板設置一個名稱。
長度為1~255個字符,支持中文和大小寫英文字母,可包含數字、半角句號(.)、下劃線(_)和短劃線(-)。
是否設置為默認模板
選擇是否將該模板設置為當前防護模塊的默認模板。
一個防護模塊只允許設置一個默認模板。默認模板無需設置生效對象,默認應用于所有未關聯到自定義規(guī)則模板的防護對象和對象組(包括后續(xù)新增、從自定義規(guī)則模板中移除的防護對象和對象組)。
規(guī)則配置
您可以單擊新建規(guī)則,為當前模板新建白名單規(guī)則;或者忽略該設置,在創(chuàng)建規(guī)則模板后,再為模板新建規(guī)則。具體操作,請參見步驟二:在白名單規(guī)則模板中添加白名單規(guī)則。
生效對象
從已添加的防護對象及對象組中,選擇要應用該模板的防護對象和防護對象組。
一個防護對象或對象組只能關聯到當前防護模塊下的一個模板。關于添加防護對象和對象組的具體操作,請參見配置防護對象和防護對象組。
新建的規(guī)則模板默認開啟。您可以在規(guī)則模板列表執(zhí)行如下操作:
查看模板關聯的防護對象/組的數量。
通過模板開關,開啟或關閉模板。
編輯或刪除規(guī)則模板。
單擊規(guī)則模板名稱左側的
圖標,查看規(guī)則模板包含的規(guī)則。說明如下情況,WAF會自動創(chuàng)建一個規(guī)則模板名稱為AutoTemplate的模板,并自動添加一條白名單規(guī)則。
開啟基礎防護規(guī)則-智能加白引擎后,智能引擎通過日志分析判斷存在誤攔截風險,則會自動添加下發(fā)針對指定路徑以及規(guī)則ID的白名單規(guī)則。更多信息,請參見智能加白引擎。
查看安全報表時,如果基礎防護規(guī)則中的攻擊處置為誤報屏蔽,WAF會自動添加一條規(guī)則來源為自定義的白名單規(guī)則。更多信息,請參見基礎防護規(guī)則。
查看安全報表時,如果將Bot管理中的攻擊處置為添加至白名單,WAF會自動添加一條規(guī)則來源為自定義的白名單規(guī)則。更多信息,請參見Bot管理。
步驟二:在白名單規(guī)則模板中添加白名單規(guī)則
只有添加白名單規(guī)則后,白名單規(guī)則模板才具有防護作用。如果您已在白名單規(guī)則模板中添加了白名單規(guī)則,可跳過該步驟。
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇。
在白名單區(qū)域,定位到要添加白名單規(guī)則的規(guī)則模板,單擊操作列下的新建規(guī)則。
在新建規(guī)則對話框,完成以下配置,單擊確定。
配置項
說明
規(guī)則名稱
為該規(guī)則設置一個名稱。
支持中文和大小寫英文字母,可包含數字、半角句號(.)、下劃線(_)和短劃線(-)。
匹配條件
設置該規(guī)則要匹配的請求特征。
單擊新增條件,添加一個條件。一個規(guī)則中最多可以添加五個條件。如果定義了多個條件,則只有當多個條件同時滿足時,才算命中規(guī)則。
每個條件由匹配字段、邏輯符和匹配內容組成。配置示例如下:
示例1:匹配字段為URI、邏輯符為包含、匹配內容為
/login.php,表示當被請求的路徑包含/login.php時,則請求命中該規(guī)則。示例2:匹配字段為IP、邏輯符為屬于、匹配內容為
192.1X.XX.XX,表示當發(fā)起連接的客戶端IP為192.1.XX.XX時,則請求命中該規(guī)則。
關于匹配字段和邏輯符的更多說明,請參見匹配條件說明。
不檢測模塊
選擇命中匹配條件的請求無需經過的防護模塊。可選項:
全部:表示命中匹配條件的請求不受任何防護模塊的檢測,直接放行到源站服務器。
該選項一般用于放行您完全信任的流量,例如受信任的漏洞掃描工具的訪問、已認證的第三方系統(tǒng)接口的訪問等。
重要越精細的白名單規(guī)則安全性越高。建議您根據業(yè)務情況,選擇具體的防護模塊,有針對性的放行網站請求。
基礎防護規(guī)則:表示命中匹配條件的請求不受指定的基礎防護規(guī)則的檢測。
選中基礎防護規(guī)則后,還需要設置要忽略的規(guī)則。可選項:
全部規(guī)則:默認已選擇,表示忽略全部規(guī)則。
特定規(guī)則ID:表示忽略指定ID的規(guī)則。
需輸入要忽略的規(guī)則ID(六位數字格式)。每輸入一個規(guī)則ID,按回車進行確認。最多支持輸入50個規(guī)則ID。
特定規(guī)則類型:表示忽略指定類型的規(guī)則。
需單擊
圖標并選擇要忽略的規(guī)則類型。
自定義規(guī)則:表示命中匹配條件的請求不受自定義規(guī)則模塊的檢測。
IP黑名單:表示命中匹配條件的請求不受IP黑名單模塊的檢測。
掃描防護:表示命中匹配條件的請求不受掃描防護模塊的檢測。
Bot管理:表示命中匹配條件的請求不受Bot管理模塊的檢測。
網頁防篡改:表示命中匹配條件的請求不受網頁防篡改模塊的檢測。
信息泄露防護:表示命中匹配條件的請求不受信息泄露防護模塊的檢測。
CC防護:表示命中匹配條件的請求不受CC防護模塊的檢測。
區(qū)域封禁:表示命中匹配條件的請求不受區(qū)域封禁模塊的檢測。
新建的規(guī)則默認開啟。您可以在規(guī)則模板列表執(zhí)行如下操作:
通過狀態(tài)開關,開啟或關閉規(guī)則。
編輯或刪除規(guī)則。
后續(xù)步驟
您可以在安全報表頁面查詢防護規(guī)則的攔截記錄,獲取觸發(fā)攔截的規(guī)則ID。更多信息,請參見安全報表。
相關文檔
如果您想了解關于添加白名單規(guī)則時涉及的匹配條件和匹配字段,請參考匹配條件說明。
如果您想了解WAF 3.0的防護對象、防護模塊及防護流程等信息,請參見防護配置概述。
如果您想使用API創(chuàng)建防護模板,請參見CreateDefenseTemplate - 創(chuàng)建防護模板。
如果您想創(chuàng)建一個基礎防護規(guī)則,并配置規(guī)則內容,請參見CreateDefenseRule - 創(chuàng)建防護規(guī)則。