網(wǎng)站接入Web應(yīng)用防火墻防護后,您可以通過設(shè)置Web入侵防護白名單,讓滿足指定特征的請求不經(jīng)過規(guī)則防護引擎的檢測。Web入侵防護白名單一般用于放行因觸發(fā)Web入侵防護相關(guān)規(guī)則被誤攔截的特殊業(yè)務(wù)請求。
前提條件
- 已開通Web應(yīng)用防火墻實例。
- 已完成網(wǎng)站接入。具體操作,請參見使用教程。
背景信息
Web入侵防護為網(wǎng)站提供針對Web通用攻擊的防護能力和對0day漏洞的快速響應(yīng)能力,保證網(wǎng)站安全性。具體操作,請參見規(guī)則防護引擎。
如果上述模塊開啟后對正常網(wǎng)站請求造成誤攔截,您可以設(shè)置Web入侵防護白名單,讓滿足條件的請求不經(jīng)過指定模塊的檢測。建議您在設(shè)置Web入侵防護白名單規(guī)則時,結(jié)合實際業(yè)務(wù)需求,確保放行的都是預(yù)期的訪問請求。
操作步驟
- 登錄Web應(yīng)用防火墻控制臺。
- 在頂部菜單欄,選擇Web應(yīng)用防火墻實例的資源組和地域(中國內(nèi)地、非中國內(nèi)地)。
- 在左側(cè)導(dǎo)航欄,選擇。
- 在網(wǎng)站防護頁面上方,切換到要設(shè)置的域名。
- 單擊Web安全頁簽,定位到Web入侵防護區(qū)域,單擊右側(cè)的前去配置。
- 新建Web入侵防護白名單規(guī)則。
- 在新建規(guī)則對話框,完成以下規(guī)則配置。
參數(shù) 說明 規(guī)則名稱 為規(guī)則設(shè)置一個名稱。 僅支持使用英文字符(包含大寫和小寫格式)、數(shù)字、漢字,且不能超過50個字符。
匹配條件 設(shè)置白名單請求需要滿足的條件(即特征)。單擊新增條件可以設(shè)置最多5個條件。存在多個條件時,多個條件必須同時滿足才算命中條件。 關(guān)于匹配條件的配置描述,請參見匹配條件字段說明。
不檢測模塊 設(shè)置白名單請求不需要檢測的模塊。可選值: 規(guī)則防護引擎。 選中 規(guī)則防護引擎后,默認(rèn)不檢測規(guī)則防護引擎中包含的 全部規(guī)則。您也可以根據(jù)需要,設(shè)置只忽略檢測指定的規(guī)則、規(guī)則類型。設(shè)置方法如下:- 選中規(guī)則防護引擎。
- 可選:如果只忽略檢測指定的規(guī)則,選中特定規(guī)則ID,并輸入不檢測的規(guī)則ID。
您可以在防護規(guī)則組頁面,通過新建規(guī)則組,查詢WAF包含的所有Web攻擊防護規(guī)則,獲取相關(guān)規(guī)則的ID。具體操作,請參見自定義防護規(guī)則組。
每輸入一個規(guī)則ID,需要按回車進行確認(rèn)。最多支持輸入50個規(guī)則ID。
說明 您也可以在 安全報表頁面,通過 Web入侵防護報表的 誤報屏蔽功能,添加針對特定規(guī)則ID的Web入侵防護白名單規(guī)則。 誤報屏蔽功能支持根據(jù)攻擊請求特征自動生成對應(yīng)的白名單規(guī)則,無需您手動設(shè)置匹配條件和查詢規(guī)則ID。關(guān)于誤報屏蔽的相關(guān)操作,請參見 Web安全報表說明。 - 可選:如果只忽略檢測指定的規(guī)則類型,選中特定規(guī)則類型,并選擇不檢測的規(guī)則類型,然后單擊確定。
成功添加Web入侵防護白名單規(guī)則后,規(guī)則自動啟用。您可以在規(guī)則列表中查看新建的規(guī)則,并根據(jù)需要禁用、編輯或刪除規(guī)則。重要 白名單規(guī)則經(jīng)創(chuàng)建后,默認(rèn)永久有效。如果您不再需要某條白名單規(guī)則,可以將其禁用、刪除。 - 在新建規(guī)則對話框,完成以下規(guī)則配置。