配置全局白名单规则对误报进行忽略
当WAF根据您配置的Web基础防护规则或网站反爬虫的“特征反爬虫”规则检测到符合规则的恶意攻击时,会按照规则中的防护动作(仅记录、拦截等),在“防护事件”页面中记录检测到的攻击事件。
对于误报情况,您可以添加白名单对误报进行忽略,对某些规则ID或者事件类别进行忽略设置(例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查)。
- “不检测模块”选择“所有检测模块”时:通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。
- “不检测模块”选择“Web基础防护模块”时:可根据选择的“不检测规则类型”,对某些规则ID或者事件类别进行忽略设置(例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查)。
- “不检测模块”选择“非法请求”时:可对非法请求进行加白。
如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
前提条件
- 已添加防护网站或已新增防护策略。
- 云模式-CNAME接入的接入方式参见将网站接入WAF防护(云模式-CNAME接入)章节。
- 云模式-ELB接入的接入方式参见 将网站接入WAF防护(云模式-ELB接入)章节。
- 独享模式的接入方式参见将网站接入WAF防护(独享模式)章节。
- 如果使用独享WAF,确保独享引擎已升级到最新版本,具体的操作请参见升级独享引擎实例。
约束条件
- 当“不检测模块”配置为“所有检测模块”时,通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。
- 当“不检测模块”配置为“Web基础防护模块”时,仅对WAF预置的Web基础防护规则和网站反爬虫的“特征反爬虫”拦截或记录的攻击事件可以配置全局白名单规则,防护规则相关说明如下:
- 您可以通过处理误报事件来配置全局白名单规则,处理误报事件后,您可以在全局白名单规则列表中查看该误报事件对应的全局白名单规则。
- 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
配置全局白名单规则
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
- 单击目标策略名称,进入目标策略的防护配置页面。
- 选择“全局白名单”配置框,用户可根据自己的需要开启或关闭全局白名单策略。
- :开启状态。
- :关闭状态。
- 在“全局白名单”规则配置列表的左上方,单击“添加规则”。
- 添加全局白名单规则,参数说明如表1所示。
图1 添加全局白名单规则
表1 参数说明 参数
参数说明
取值样例
防护方式
- “全部域名”:默认防护当前策略下绑定的所有域名。
- “指定域名”:选择策略绑定的防护域名或手动输入泛域名对应的单域名。
指定域名
防护域名
“防护方式”选择“指定域名”时,需要配置此参数。
需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名,且需要输入完整的域名。
单击“添加”,支持配置多个域名。
www.example.com
条件列表
- 单击条件框内的“添加”增加组内新的条件,一个防护规则至少包含一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。
- 单击条件框外的“添加”可增加1组新的条件,最多可添加3组条件,多组条件之间是“或”的关系,即满足其中1组条件时,本条规则即生效。
条件设置参数说明如下:- 字段
- 子字段:当字段选择“IPv4”、“IPv6”、“Params”、“Cookie”或者“Header”时,请根据实际使用需求配置子字段。
须知:
子字段的长度不能超过2048字节。
- 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。
- 内容:输入或者选择条件匹配的内容。
“路径”包含“/product”
不检测模块
- “所有检测模块”:通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。
- “Web基础防护模块”:选择此参数时,可根据选择的“不检测规则类型”,对某些规则ID或者事件类别进行忽略设置(例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查)。
- “非法请求”:可对非法请求加白。
说明:
非法请求判定标准:
- 请求头中参数个数超过512。
- URL中参数个数超过2048。
- Content-Type:application/x-www-form-urlencoded,且请求体中参数个数超过8192。
Web基础防护模块
不检测规则类型
“不检测模块”选择“Web基础防护模块”时,您可以选择以下三种方式进行配置:
- 按ID:按攻击事件的ID进行配置。
- 按类别:按攻击事件类别进行配置,如:XSS、SQL注入等。一个类别会包含一个或者多个规则id。
- 所有内置规则:Web基础防护规则里开启的所有防护规则。
按类别
不检测规则ID
当“不检测规则类型”选择“按ID”时,需要配置此参数。
“防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。建议您直接在防护事件页面进行误报处理。
041046
不检测规则类别
当“不检测规则类型”选择“按类别”时,需要配置此参数。
在下拉框中选择事件类别。
WAF支持的防护事件类别有:XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。
SQL注入攻击
规则描述
可选参数,设置该规则的备注信息。
不拦截SQL注入攻击
不检测字段
如果您只想忽略来源于某攻击事件下指定字段的攻击,可在“高级设置”里选择指定字段进行配置,配置完成后,WAF将不再拦截指定字段的攻击事件。
在左边第一个下拉列表中选择目标字段。支持的字段有:Params、Cookie、Header、Body、Multipart。- 当选择“Params”、“Cookie”或者“Header”字段时,可以配置“全部”或根据需求配置子字段。
- 当选择“Body”或“Multipart”字段时,可以配置“全部”。
- 当选择“Cookie”字段时,“防护域名”可以为空。
说明:当字段配置为“全部”时,配置完成后,WAF将不再拦截该字段的所有攻击事件。
Params
全部
- 单击“确认”。
相关操作
- 规则添加成功后,默认的“规则状态”为“已开启”,如果您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”。
- 如果需要修改添加的全局白名单规则时,可单击待修改的全局白名单规则所在行的“修改”,修改全局白名单规则。
- 如果需要删除添加的全局白名单规则时,可单击待删除的全局白名单规则所在行的“删除”,删除全局白名单规则。