配置网页防篡改规则避免静态网页被篡改

工作原理

• 当WAF接收到正常的访问请求时，直接将缓存的网页返回给Web访问者，加速请求响应。
• 如果攻击者篡改了网站的静态网页，WAF将缓存的未被篡改的网页返回给Web访问者，保证Web访问者访问的是正确的页面。
• WAF将对页面路径下的所有相关资源进行防护。例如，对“www.example.com/index.html”静态页面配置了网页防篡改规则，则WAF将防护“/index.html”的网页以及这个网页关联的相关资源。

  即如果请求中Referer请求头的值中的URL路径与您配置的防篡改路径一致，如“/index.html” ，则该请求命中的资源（结尾为png、jpg、 jpeg、gif、bmp、css、js的所有资源）也会同时被缓存下来。

• 同时，WAF支持缓存自定义的Header字段。在网页防篡改页面上方，单击“修改字段”可配置需要通过WAF缓存的Header字段。

前提条件

已添加防护网站或已新增防护策略。

• 云模式-CNAME接入的接入方式参见将网站接入WAF防护（云模式-CNAME接入）章节。
• 独享模式的接入方式参见将网站接入WAF防护（独享模式）章节。

约束条件

• 云模式-ELB接入不支持该防护规则。
• 添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。
• 请确保源站响应中包括Content-Type响应头，否则可能导致WAF无法缓存源站响应。

应用场景

• 加速请求的响应

  配置网页防篡改规则后，Web应用防火墙将对服务端的静态网页进行缓存。当Web应用防火墙接收到Web访问者的请求时，直接将缓存的网页返回给Web访问者。

• 网页防篡改

  攻击者将服务端的静态网页篡改后，Web应用防火墙将缓存的未被篡改的网页返回给Web访问者，以保证Web访问者访问的是正确的页面。

  Web应用防火墙具有如下功能：随机抽取Web访问者的一个请求，将请求的页面与服务端页面进行对比，如果发现页面被篡改，您将接收到告警通知（通知方式由您设置），告警通知的设置请参考开启告警通知。

配置网页防篡改规则

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域或项目。
3. 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。
4. 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。
5. 单击目标策略名称，进入目标策略的防护配置页面。
6. 选择“网页防篡改”配置框，用户可根据自己的需要开启或关闭网页防篡改策略。
   • ：开启状态。
   • ：关闭状态。

7. 在“网页防篡改”规则配置列表的左上方，单击“添加规则”。
8. 在弹出的对话框中，添加网页防篡改规则，参数说明如表1所示。
   图1 添加网页防篡改规则
   

   表1 参数说明

   参数	参数说明	取值样例
   域名	设置防篡改的域名。	www.example.com
   路径	设置防篡改的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“http://www.example.com/admin”，则“路径”设置为“/admin”。 说明： 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。	/admin
   规则描述	可选参数，设置该规则的备注信息。	--

9. 单击“确认”，添加的网页防篡改规则展示在网页防篡改规则列表中。

相关操作

• 规则添加成功后，默认的“规则状态”为“已开启”，如果您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。
• 如果被防护页面进行了内容修改，必须单击待更新的网页防篡改规则所在行的“更新缓存”来更新缓存，如果您在页面更新后未更新缓存，WAF将始终返回最近一次缓存的页面内容。
• 如果需要删除添加的网页防篡改规则时，可单击待删除的网页防篡改规则所在行的“删除”，删除网页防篡改规则。

配置示例-静态页面防篡改

假如防护域名“www.example.com”已接入WAF，需要防止“/admin”静态页面被篡改，您可以参照以下操作步骤验证防护效果。

1. 添加一条网页防篡改规则。
   图2 添加网页防篡改规则
   

2. 开启网页防篡改。
   图3 网页防篡改配置框
   

3. 模拟篡改“http://www.example.com/admin”网页。
4. 在浏览器中访问“http://www.example.com/admin”， 等待WAF缓存静态页面。
5. 在浏览器中访问篡改后的页面。

   此时，显示的是被篡改前的页面。