規則防護引擎基于內置的防護規則集,自動為網站防御SQL注入、XSS跨站、Webshell上傳、命令注入、后門隔離、非法文件請求、路徑穿越、常見應用漏洞攻擊等通用的Web攻擊。
前提條件
已開通Web應用防火墻實例。
已完成網站接入。具體操作,請參見使用教程。
背景信息
Web應用防火墻(WAF)的規則防護引擎默認開啟,所有接入WAF防護的網站業務,默認都受到規則防護引擎的檢測和防護。
規則防護引擎基于阿里云安全團隊在Web攻擊防御實踐中沉淀的大量基礎防護規則,幫助網站防御各種常見的Web應用攻擊。您可以根據業務防護需要,在防護規則組的維度,設置規則防護引擎采用哪些防護規則。WAF按照防護嚴格程度,內置了三套規則組供您選用:
中等規則組:默認選用該規則組。
寬松規則組:如需減少誤攔截,可選用該規則組。
嚴格規則組:如需提高攻擊檢測命中率,可選用該規則組。
您也可以自定義防護規則組,相關操作,請參見自定義防護規則組。
智能規則托管
規則防護引擎默認開啟智能規則托管,針對規則防護引擎可能對正常業務流量產生的誤攔截進行自動規避。
智能規則托管表示由規則防護引擎通過智能算法,自學習網站業務的歷史流量特征,并結合阿里云安全威脅情報數據,自動識別不適用于防護當前業務場景或接口的規則(這類規則可能在相應場景或接口防護中產生誤攔截或誤報);在規則識別的基礎上,通過自動添加最小粒度的Web入侵防護白名單規則(一般針對某個特定的業務接口URL,忽略某個特定規則ID),確保在規避誤報的同時不擴大攻擊影響面。誤報風險消除后,規則防護引擎會自動刪除之前自動添加的Web入侵防護白名單規則。
操作步驟
登錄Web應用防火墻控制臺。
在頂部菜單欄,選擇Web應用防火墻實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇 。
在網站防護頁面上方,切換到要設置的域名。
單擊Web安全頁簽,定位到規則防護引擎區域,完成以下功能配置。
配置項
說明
狀態
開啟或關閉規則防護引擎。規則防護引擎默認開啟,為所有接入WAF防護的網站防御常見的Web應用攻擊。
您可以在安全報表頁面,通過Web安全報表說明。
報表,查詢規則防護引擎的攻擊命中記錄。如果您發現某個規則誤攔截了正常業務流量,可以通過誤報屏蔽功能,屏蔽指定的規則。更多信息,請參見模式
檢測發現攻擊請求時,對攻擊請求執行的操作。可選值:
攔截:直接阻斷攻擊請求。
告警:只觸發告警,不阻斷攻擊請求。
智能規則托管
開啟或關閉智能規則托管。智能規則托管默認開啟,通過動態管理Web入侵防護白名單,降低誤攔截風險。
您可以在規則防護引擎配置區域,查看規則防護引擎已智能優化XX條規則;單擊點擊查看,可跳轉到Web入侵防護 - 白名單頁面,查看規則防護引擎自動添加的白名單規則(規則來源為智能規則托管)。您可以編輯或刪除自動添加的白名單規則。
等誤報風險消除后,自動添加的白名單規則會被自動刪除。
重要如果您手動編輯過自動添加的白名單規則,該規則仍會在誤報風險消除后,被自動刪除。
您手動創建的Web入侵白名單規則不會被自動刪除。
防護規則組
選擇要應用的防護規則組。支持應用內置規則組和自定義規則組。內置規則組包括:
中等規則組:按照標準防護程度去檢測常見的Web應用攻擊。默認應用該規則組。
嚴格規則組:按照嚴格防護程度去檢測路徑穿越、SQL注入、命令執行等Web應用攻擊。
寬松規則組:按照寬松防護程度去檢測常見Web應用攻擊。當您發現中等規則下存在較多誤攔截,或者業務存在較多不可控的用戶輸入(例如,富文本編輯器、技術論壇等),建議您選擇該規則組。
單擊前去配置,將跳轉到防護規則組配置頁面,您可以根據業務需要自定義防護規則組及要應用的防護規則。具體操作,請參見自定義防護規則組。
解碼設置
設置需要規則防護引擎解碼分析的內容格式。
為保證防護效果,規則防護引擎默認對請求中所有格式類型的內容進行解碼分析。如果您發現規則防護引擎經常對業務中包含指定格式內容的請求造成誤攔截,您可以取消解碼對應格式,針對性地降低誤殺率。
您可以展開解碼設置菜單,根據需要選中或取消選中要解碼的格式。
重要以下解碼格式不支持取消:URL解碼、JavaScript Unicode解碼、Hex解碼、注釋處理、空格壓縮。
默認不開啟base64解碼。
查詢防護規則
您可以參照以下方法,查詢WAF規則防護引擎中最新添加的防護規則、查詢規則防護引擎中目前包含的所有防護規則:
查詢最新防護規則
您可以在Web應用防火墻控制臺的總覽頁面,通過應急漏洞列表,查詢規則防護引擎中最新添加的防護規則。
應急漏洞記錄展示了WAF應對互聯網上最新披露的安全漏洞所發布的防護規則更新。
您可以單擊某個應急漏洞記錄,查看應急漏洞防護詳情。詳情頁面展示了受該漏洞影響的網站域名,以及漏洞的詳情和相關的WAF防護規則信息。
查詢所有防護規則
您可以在Web應用防火墻控制臺的 頁面,查詢WAF規則防護引擎包含的所有防護規則。
查詢方法如下:
在Web攻擊防護頁簽,定位到嚴格規則組,單擊內置規則數列下的數字鏈接。
嚴格規則組是規則防護引擎下默認創建的一個系統規則組(不支持編輯),包含規則防護引擎的所有防護規則。
說明由于規則防護引擎的防護規則會動態變化,您看到的內置規則數可能與以下截圖不一致。
在內置規則數面板,查詢您想要了解的防護規則。
您可以通過危險等級、防護類型、應用類型篩選防護規則,或者通過規則ID、CVE ID(Common Vulnerabilities and Exposures ID)查詢某個防護規則。例如,您通過總覽或者安全報表頁面獲取到某個防護規則的ID后,可以使用規則ID查詢該規則。
規則列表向您展示了防護規則的以下信息:危險等級/規則名稱、規則ID、更新時間、應用類型、CVE ID、防護類型、規則描述。
您可以單擊具體的CVE ID,查看該規則對應的漏洞詳情。