設(shè)置白名單規(guī)則放行特定請(qǐng)求
接入Web應(yīng)用防火墻(Web Application Firewall,簡(jiǎn)稱(chēng)WAF)后,您可以通過(guò)設(shè)置白名單規(guī)則,放行具有指定特征的請(qǐng)求,使請(qǐng)求不經(jīng)過(guò)全部或特定防護(hù)模塊(例如基礎(chǔ)防護(hù)規(guī)則、IP黑名單、自定義規(guī)則、掃描防護(hù)等)的檢測(cè)。本文介紹如何創(chuàng)建白名單規(guī)則模板并添加白名單規(guī)則。
背景信息
白名單規(guī)則模板支持默認(rèn)規(guī)則模板和自定義規(guī)則模板。
規(guī)則模板 | 說(shuō)明 | 生效對(duì)象 |
默認(rèn)規(guī)則模板 | WAF內(nèi)置的規(guī)則模板,不包含白名單規(guī)則。使用時(shí),需要添加白名單規(guī)則。 | 無(wú)需設(shè)置生效對(duì)象,默認(rèn)應(yīng)用于所有未關(guān)聯(lián)到自定義規(guī)則模板的防護(hù)對(duì)象和對(duì)象組(包括后續(xù)新增的、從自定義規(guī)則模板中移除的防護(hù)對(duì)象和對(duì)象組)。 |
自定義規(guī)則模板 | 根據(jù)業(yè)務(wù)需要,自定義的規(guī)則模板。創(chuàng)建規(guī)則模板時(shí),需要添加白名單規(guī)則。 | 需要設(shè)置生效對(duì)象,只對(duì)關(guān)聯(lián)到規(guī)則模板的防護(hù)對(duì)象和對(duì)象組生效。 |
未添加白名單規(guī)則的規(guī)則模板不具有防護(hù)作用,默認(rèn)所有請(qǐng)求都需要經(jīng)過(guò)WAF防護(hù),不放行任何請(qǐng)求。
前提條件
已開(kāi)通WAF 3.0服務(wù)。具體操作,請(qǐng)參見(jiàn)開(kāi)通包年包月WAF 3.0、開(kāi)通按量付費(fèi)WAF 3.0。
已將Web業(yè)務(wù)添加為WAF 3.0的防護(hù)對(duì)象。具體操作,請(qǐng)參見(jiàn)配置防護(hù)對(duì)象和防護(hù)對(duì)象組。
步驟一:創(chuàng)建白名單規(guī)則模板
僅自定義防護(hù)規(guī)則模板需要?jiǎng)?chuàng)建白名單規(guī)則模板。如果您使用的是默認(rèn)規(guī)則模板,可跳過(guò)該步驟。
登錄Web應(yīng)用防火墻3.0控制臺(tái)。在頂部菜單欄,選擇WAF實(shí)例的資源組和地域(中國(guó)內(nèi)地、非中國(guó)內(nèi)地)。
在左側(cè)導(dǎo)航欄,選擇 。
在Web基礎(chǔ)防護(hù)頁(yè)面下方白名單區(qū)域,單擊新建模板。
說(shuō)明如果您是第一次新建白名單規(guī)則模板,您也可以在Web基礎(chǔ)防護(hù)頁(yè)面上方的白名單卡片區(qū)域,單擊立即配置。
在新建模板 - 白名單面板,完成以下配置,單擊確定。
配置項(xiàng)
說(shuō)明
模板名稱(chēng)
為該模板設(shè)置一個(gè)名稱(chēng)。
長(zhǎng)度為1~255個(gè)字符,支持中文和大小寫(xiě)英文字母,可包含數(shù)字、半角句號(hào)(.)、下劃線(_)和短劃線(-)。
是否設(shè)置為默認(rèn)模板
選擇是否將該模板設(shè)置為當(dāng)前防護(hù)模塊的默認(rèn)模板。
一個(gè)防護(hù)模塊只允許設(shè)置一個(gè)默認(rèn)模板。默認(rèn)模板無(wú)需設(shè)置生效對(duì)象,默認(rèn)應(yīng)用于所有未關(guān)聯(lián)到自定義規(guī)則模板的防護(hù)對(duì)象和對(duì)象組(包括后續(xù)新增、從自定義規(guī)則模板中移除的防護(hù)對(duì)象和對(duì)象組)。
規(guī)則配置
您可以單擊新建規(guī)則,為當(dāng)前模板新建白名單規(guī)則;或者忽略該設(shè)置,在創(chuàng)建規(guī)則模板后,再為模板新建規(guī)則。具體操作,請(qǐng)參見(jiàn)步驟二:在白名單規(guī)則模板中添加白名單規(guī)則。
生效對(duì)象
從已添加的防護(hù)對(duì)象及對(duì)象組中,選擇要應(yīng)用該模板的防護(hù)對(duì)象和防護(hù)對(duì)象組。
一個(gè)防護(hù)對(duì)象或?qū)ο蠼M只能關(guān)聯(lián)到當(dāng)前防護(hù)模塊下的一個(gè)模板。關(guān)于添加防護(hù)對(duì)象和對(duì)象組的具體操作,請(qǐng)參見(jiàn)配置防護(hù)對(duì)象和防護(hù)對(duì)象組。
新建的規(guī)則模板默認(rèn)開(kāi)啟。您可以在規(guī)則模板列表執(zhí)行如下操作:
查看模板關(guān)聯(lián)的防護(hù)對(duì)象/組的數(shù)量。
通過(guò)模板開(kāi)關(guān),開(kāi)啟或關(guān)閉模板。
編輯或刪除規(guī)則模板。
單擊規(guī)則模板名稱(chēng)左側(cè)的圖標(biāo),查看規(guī)則模板包含的規(guī)則。
說(shuō)明如下情況,WAF會(huì)自動(dòng)創(chuàng)建一個(gè)規(guī)則模板名稱(chēng)為AutoTemplate的模板,并自動(dòng)添加一條白名單規(guī)則。
創(chuàng)建基礎(chǔ)防護(hù)規(guī)則時(shí),開(kāi)啟智能白名單功能后,WAF會(huì)自動(dòng)添加一條規(guī)則來(lái)源為智能白名單的白名單規(guī)則。更多信息,請(qǐng)參見(jiàn)配置智能白名單。
查看安全報(bào)表時(shí),如果基礎(chǔ)防護(hù)規(guī)則中的攻擊處置為誤報(bào)屏蔽,WAF會(huì)自動(dòng)添加一條規(guī)則來(lái)源為自定義的白名單規(guī)則。更多信息,請(qǐng)參見(jiàn)基礎(chǔ)防護(hù)規(guī)則。
查看安全報(bào)表時(shí),如果將Bot管理中的攻擊處置為添加至白名單,WAF會(huì)自動(dòng)添加一條規(guī)則來(lái)源為自定義的白名單規(guī)則。更多信息,請(qǐng)參見(jiàn)Bot管理。
步驟二:在白名單規(guī)則模板中添加白名單規(guī)則
只有添加白名單規(guī)則后,白名單規(guī)則模板才具有防護(hù)作用。如果您已在白名單規(guī)則模板中添加了白名單規(guī)則,可跳過(guò)該步驟。
登錄Web應(yīng)用防火墻3.0控制臺(tái)。在頂部菜單欄,選擇WAF實(shí)例的資源組和地域(中國(guó)內(nèi)地、非中國(guó)內(nèi)地)。
在左側(cè)導(dǎo)航欄,選擇 。
在白名單區(qū)域,定位到要添加白名單規(guī)則的規(guī)則模板,單擊操作列下的新建規(guī)則。
在新建規(guī)則對(duì)話框,完成以下配置,單擊確定。
配置項(xiàng)
說(shuō)明
規(guī)則名稱(chēng)
為該規(guī)則設(shè)置一個(gè)名稱(chēng)。
支持中文和大小寫(xiě)英文字母,可包含數(shù)字、半角句號(hào)(.)、下劃線(_)和短劃線(-)。
匹配條件
設(shè)置該規(guī)則要匹配的請(qǐng)求特征。
單擊新增條件,添加一個(gè)條件。一個(gè)規(guī)則中最多可以添加五個(gè)條件。如果定義了多個(gè)條件,則只有當(dāng)多個(gè)條件同時(shí)滿足時(shí),才算命中規(guī)則。
每個(gè)條件由匹配字段、邏輯符和匹配內(nèi)容組成。配置示例如下:
示例1:匹配字段為URI、邏輯符為包含、匹配內(nèi)容為
/login.php
,表示當(dāng)被請(qǐng)求的路徑包含/login.php
時(shí),則請(qǐng)求命中該規(guī)則。示例2:匹配字段為IP、邏輯符為屬于、匹配內(nèi)容為
192.1X.XX.XX
,表示當(dāng)發(fā)起連接的客戶端IP為192.1.XX.XX
時(shí),則請(qǐng)求命中該規(guī)則。
關(guān)于匹配字段和邏輯符的更多說(shuō)明,請(qǐng)參見(jiàn)匹配條件說(shuō)明。
不檢測(cè)模塊
選擇命中匹配條件的請(qǐng)求無(wú)需經(jīng)過(guò)的防護(hù)模塊。可選項(xiàng):
全部:表示命中匹配條件的請(qǐng)求不受任何防護(hù)模塊的檢測(cè),直接放行到源站服務(wù)器。
該選項(xiàng)一般用于放行您完全信任的流量,例如受信任的漏洞掃描工具的訪問(wèn)、已認(rèn)證的第三方系統(tǒng)接口的訪問(wèn)等。
重要越精細(xì)的白名單規(guī)則安全性越高。建議您根據(jù)業(yè)務(wù)情況,選擇具體的防護(hù)模塊,有針對(duì)性的放行網(wǎng)站請(qǐng)求。
基礎(chǔ)防護(hù)規(guī)則:表示命中匹配條件的請(qǐng)求不受指定的基礎(chǔ)防護(hù)規(guī)則的檢測(cè)。
選中基礎(chǔ)防護(hù)規(guī)則后,還需要設(shè)置要忽略的規(guī)則。可選項(xiàng):
全部規(guī)則:默認(rèn)已選擇,表示忽略全部規(guī)則。
特定規(guī)則ID:表示忽略指定ID的規(guī)則。
需輸入要忽略的規(guī)則ID(六位數(shù)字格式)。每輸入一個(gè)規(guī)則ID,按回車(chē)進(jìn)行確認(rèn)。最多支持輸入50個(gè)規(guī)則ID。
特定規(guī)則類(lèi)型:表示忽略指定類(lèi)型的規(guī)則。
需單擊圖標(biāo)并選擇要忽略的規(guī)則類(lèi)型。
自定義規(guī)則:表示命中匹配條件的請(qǐng)求不受自定義規(guī)則模塊的檢測(cè)。
IP黑名單:表示命中匹配條件的請(qǐng)求不受IP黑名單模塊的檢測(cè)。
掃描防護(hù):表示命中匹配條件的請(qǐng)求不受掃描防護(hù)模塊的檢測(cè)。
Bot管理:表示命中匹配條件的請(qǐng)求不受Bot管理模塊的檢測(cè)。
網(wǎng)頁(yè)防篡改:表示命中匹配條件的請(qǐng)求不受網(wǎng)頁(yè)防篡改模塊的檢測(cè)。
信息泄露防護(hù):表示命中匹配條件的請(qǐng)求不受信息泄露防護(hù)模塊的檢測(cè)。
CC防護(hù):表示命中匹配條件的請(qǐng)求不受CC防護(hù)模塊的檢測(cè)。
區(qū)域封禁:表示命中匹配條件的請(qǐng)求不受區(qū)域封禁模塊的檢測(cè)。
新建的規(guī)則默認(rèn)開(kāi)啟。您可以在規(guī)則模板列表執(zhí)行如下操作:
通過(guò)狀態(tài)開(kāi)關(guān),開(kāi)啟或關(guān)閉規(guī)則。
編輯或刪除規(guī)則。
后續(xù)步驟
您可以在安全報(bào)表頁(yè)面查詢防護(hù)規(guī)則的攔截記錄,獲取觸發(fā)攔截的規(guī)則ID。更多信息,請(qǐng)參見(jiàn)安全報(bào)表。
相關(guān)文檔
如果您想了解關(guān)于添加白名單規(guī)則時(shí)涉及的匹配條件和匹配字段,請(qǐng)參考匹配條件說(shuō)明。
如果您想了解WAF 3.0的防護(hù)對(duì)象、防護(hù)模塊及防護(hù)流程等信息,請(qǐng)參見(jiàn)防護(hù)配置概述。
如果您想使用API創(chuàng)建防護(hù)模板,請(qǐng)參見(jiàn)CreateDefenseTemplate - 創(chuàng)建防護(hù)模板。
如果您想創(chuàng)建一個(gè)基礎(chǔ)防護(hù)規(guī)則,并配置規(guī)則內(nèi)容,請(qǐng)參見(jiàn)CreateDefenseRule - 創(chuàng)建防護(hù)規(guī)則。