文档首页/ Web应用防火墙 WAF/ 用户指南(吉隆坡区域)/ 配置防护策略/ 配置防护规则/ 配置全局白名单规则对误报进行忽略
更新时间:2025-09-11 GMT+08:00
查看PDF
分享

配置全局白名单规则对误报进行忽略

当WAF根据您配置的Web基础防护规则或网站反爬虫的“特征反爬虫”规则检测到符合规则的恶意攻击时,会按照规则中的防护动作(仅记录、拦截等),在“防护事件”页面中记录检测到的攻击事件。

对于误报情况,您可以添加白名单对误报进行忽略,对某些规则ID或者事件类别进行忽略设置(例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查)。

  • “不检测模块”选择“所有检测模块”时:通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。
  • “不检测模块”选择“Web基础防护模块”时:可根据选择的“不检测规则类型”,对某些规则ID或者事件类别进行忽略设置(例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查)。

前提条件

已添加防护网站。

约束条件

  • “不检测模块”配置为“所有检测模块”时,通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。
  • “不检测模块”配置为“Web基础防护模块”时,仅对WAF预置的Web基础防护规则和网站反爬虫的“特征反爬虫”拦截或记录的攻击事件可以配置全局白名单规则,防护规则相关说明如下:
    • Web基础防护规则

      防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击,以及Webshell检测、深度反逃逸检测等Web基础防护。

    • 网站反爬虫的“特征反爬虫”规则

      可防护搜索引擎、扫描器、脚本工具、其它爬虫等爬虫。

  • 您可以通过处理误报事件来配置全局白名单规则,处理误报事件后,您可以在全局白名单规则列表中查看该误报事件对应的全局白名单规则。
  • 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。

配置全局白名单规则

  1. 登录管理控制台,在页面左上方,单击图标,选择安全 > Web应用防火墙 WAF
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 在左侧导航栏,单击“防护策略”
  4. 单击目标策略名称,进入目标策略的防护规则配置页面。

    在配置防护规则前,请确认目标防护策略已绑定防护域名,即绑定策略生效目标。一条防护策略可以适用于多个防护域名,但一个防护域名只能绑定一个防护策略。

  5. 单击“全局白名单”配置框,确认已开启全局白名单防护规则。

    :开启状态。

  6. “全局白名单”规则配置列表的左上方,单击“添加规则”
  7. 添加全局白名单规则,参数说明如表1所示。

    表1 参数说明

    参数

    参数说明

    取值样例

    防护方式

    选择要应用此策略的域名。

    • “全部域名”:默认防护应用此策略的所有防护域名。
    • “指定域名”:防护应用此策略的指定防护域名。

    指定域名

    防护域名

    “防护方式”选择“指定域名”时,选择或手动输入策略绑定的防护域名。

    接入模式不同,选择或手动输入的域名格式不同:
    • 云模式-CNAME接入:完整防护域名。
    • 云模式-ELB接入域名:elb id
      • 防护域名为单域名时,选择或手动输入域名:elb id
      • 防护域名为泛域名时,选择或手动输入*:elb id

        例如,添加的防护域名为泛域名“*”,elb id为“c8c5fbd9-XXXX-XXXX-XXXX-d6f341a46ee5”,则此处指定域名为:“*:c8c5fbd9-XXXX-XXXX-XXXX-d6f341a46ee5”
    • 云模式-CNAME接入模式:“www.example.com”
    • 云模式-ELB接入模式:“*:c8c5fbd9-XXXX-XXXX-XXXX-d6f341a46ee5”

    条件列表

    单击“添加”增加新的条件,一个防护规则至少包含一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。

    条件设置参数说明如下:
    • 字段
    • 子字段:当字段选择“Params”“Cookie”或者“Header”时,请根据实际使用需求配置子字段。
      须知:

      子字段的长度不能超过2048字符,且只能由数字、字母、下划线和中划线组成。

    • 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。
    • 内容:输入或者选择条件匹配的内容。

    “字段”“路径”

    “逻辑”“包含”

    “内容”“/product”

    不检测模块

    选择要添加的全局白名单的模块。

    • 所有检测模块:通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。
    • Web基础防护模块:支持按规则类型设置不检测的Web基础防护模块,例如对某些规则ID或者事件类别进行忽略设置。例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查。
      • 按ID:按防护规则ID,配置不检测的模块。

        选择该项后,需添加不检测规则ID,多个ID以英文逗号(,)分隔。最多可输入100个ID。

        输入规则ID后,单击Enter键,可查看已添加的规则ID、规则描述、危险等级信息。

        您也可以直接单击规则ID“操作”列的“误报处理”,设置“不检测规则类型”“按ID”后,单击“确认添加”,将该规则ID加入全局白名单。更多操作,请参见处理误报事件

      • 按类别:按攻击事件类别,配置不检测的模块。一个类别会包含一个或者多个规则ID。

        选择该项后,需选择不检测规则类别,支持多选。不检测规则类别包括:XXS攻击网站木马其他类别攻击SQL注入攻击恶意爬虫远程文件包含本地文件包含命令注入攻击

      • 所有内置规则Web基础防护规则启用的所有防护规则。

    不检测模块:Web基础防护模块

    不检测规则类型:按ID

    不检测规则ID:041046

    规则描述

    可选参数,设置该规则的备注信息。

    不拦截SQL注入攻击

    不检测字段

    如果您只想忽略来源于某攻击事件下指定字段的攻击,可配置开启不检测字段开关,并配置不检测指定字段。完成后,WAF将不再拦截指定字段的攻击事件,且条件列表将作为非必选配置。

    • 支持不检测的字段包括:Params、Cookie、Header、Body、Multipart。
    • 支持不检测全部字段或指定字段。
      • 全部字段:Params、Cookie、Header、Body、Multipart字段均支持。

        当字段配置为“全部”时,配置完成后,WAF将不再拦截该字段的所有攻击事件。

      • 指定字段:仅Params、Cookie、Header字段支持。选择“指定字段”时,需填写子字段。
    • 当选择“Cookie”字段时,“防护域名”可以为空。

    Params

    全部

  8. 单击“确认”

    完成以上配置后,您还可以执行以下操作:

    • 查看规则状态:在防护规则列表,查看已添加的规则。此时,“规则状态”默认为“已开启”
    • 关闭规则:如果您暂时不想使该规则生效,可在目标规则“操作”列,单击“关闭”
    • 删除或修改规则:您也可以在目标规则“操作”列,单击“删除”“修改”,删除或修改已添加的防护规则。
    • 验证防护效果
      1. 模拟XSS攻击。
      2. “防护事件”页面,查看防护日志。

父主题: 配置防护规则