文档首页/ 企业主机安全 HSS/ 用户指南/ 主动防御/ 应用防护/ 管理应用防护策略
更新时间:2025-12-10 GMT+08:00
查看PDF
分享

管理应用防护策略

操作场景

应用防护策略支持添加、编辑、删除,具体使用场景如下:

  • 添加防护策略:企业主机安全提供了“默认策略”,其中包含的检测规则请参见默认策略,默认策略仅支持检测不支持阻断。如果您需要为服务器定制防护策略或配置阻断模式,可单独添加防护策略,对策略中的检测规则项及规则配置进行自定义选择和设置。最多支持添加20条自定义策略。
  • 编辑防护策略:对于您自定义添加的防护策略,如需修改,可编辑该策略。
  • 删除防护策略:对于不需要的自定义防护策略(未关联服务器),可直接删除。

添加防护策略

  1. 登录企业主机安全控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 在左侧导航栏,选择主动防御 > 应用防护,进入应用防护界面。
  4. 在界面右上角单击“策略管理”,进入策略管理页面。
  5. 单击“添加防护策略”,进入添加防护策略页面。
  6. 根据界面提示,自定义防护策略。相关参数说明请参见表1

    图1 添加防护策略
    表1 添加防护策略参数说明

    参数名称

    参数说明

    防护策略名称

    自定义当前添加的策略名称。

    策略描述(可选)

    描述策略内容或用途。

    操作系统类型

    选择防护策略适用的服务器操作系统类型。

    防护策略

    检测规则标识

    检测规则的唯一标识。如果需要启用则勾选目标检测规则即可,不启用则不勾选。

    防护动作

    检测规则识别到异常事件时采取的应对方式。

    • 告警:仅告警并记录异常事件。
    • 告警并阻断:告警并记录异常事件,同时阻断异常行为继续执行。
      说明:

      “告警并阻断”功能当前处于公测阶段,如需使用请提交工单申请开通。

    新建策略时,防护动作仅支持配置为“告警”,建议您先试用告警模式至少7天,7天后可编辑策略,将防护动作切换为“阻断”,编辑策略的操作详情请参见编辑防护策略。如果应用防护过程中出现误告警,您可通过配置白名单规则,屏蔽误告警的事件。

    检测规则描述

    检测规则的检测对象及行为的描述。

    白名单数量

    已添加的白名单数量。

    配置检测规则

    检测规则XSS、WebShellUpload、FileDirAccess、zeroDayDetect支持自定义配置黑白名单。

    单击“检测规则配置”,系统弹出检测规则配置对话框,您可以按需进行配置。

    • XSS:自定义配置XSS的屏蔽规则。例如:xml;doctype;xmlns;import;entity
    • WebShellUpload:自定义文件后缀黑名单。例如:.jspx;.jsp;.jar;.phtml;.asp;.php;.ascx;.ashx;.cer
    • FileDirAccess:自定义配置路径检测黑名单。例如:/etc/passwd;/etc/shadow;/etc/gshadow;
    • zeroDayDetect:自定义配置zeroDay白名单堆栈。

    配置白名单

    为确保您的业务正常运转,避免应用防护过程中误告警、误阻断的情况,建议您配置防护策略时同步配置白名单。

    一个检测规则最多支持添加25个白名单条件,多个白名单之间为“或”关系,只要事件满足任一白名单条件就不会触发告警或阻断。

    单击“配置白名单”,系统弹出配置白名单对话框,单击“新增条件”,选择“加白模式”“匹配逻辑”“匹配内容”

    • 加白模式:选择需要加白的规则类型,可选择如下:
      • 请求URL:对特定的请求地址(URL)加白。
      • 攻击载荷:对特定的恶意内容加白。
      • 攻击探针:对特定的攻击探测行为加白。
      • 特性规则:对特定的安全规则加白。
    • 匹配逻辑:选择白名单匹配逻辑。可选择如下:
      • 相等:当事件内容与设定的匹配内容完全一致时,不会触发告警。
      • 不相等:当事件内容与设定的匹配内容不一致时,不会触发告警。
      • 包含:当事件内容包含设定的匹配内容时,不会触发告警。
      • 不包含:当事件内容不包含设定的匹配内容时,不会触发告警。
      • 前缀匹配:当事件内容以设定的匹配内容开始时,不会触发告警。
      • 后缀匹配:当事件内容以设定的匹配内容结束时,不会触发告警。
    • 匹配内容:输入加白的具体内容,必须与“加白模式”的类型相对应。

  7. 策略配置完成后,单击“确定”,添加完成。

编辑防护策略

  1. 登录企业主机安全控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 在左侧导航栏,选择主动防御 > 应用防护,进入应用防护界面。
  4. 在界面右上角单击“策略管理”,进入策略管理页面。
  5. 在目标策略所在行的“操作”列,单击“编辑”,进入“编辑防护策略”页面。
  6. 根据界面提示,修改防护策略。相关参数说明请参见表2

    图2 编辑防护策略
    表2 编辑防护策略参数说明

    参数名称

    参数说明

    防护策略名称

    自定义策略名称。

    策略描述(可选)

    描述策略内容或用途。

    操作系统类型

    不支持修改。

    防护策略

    检测规则标识

    检测规则的唯一标识。如果需要启用则勾选目标检测规则即可,不启用则不勾选。

    防护动作

    检测规则识别到异常事件时采取的应对方式。

    • 告警:仅告警并记录异常事件。
    • 告警并阻断:告警并记录异常事件,同时阻断异常行为继续执行。
      说明:

      “告警并阻断”功能当前处于公测阶段,如需使用请提交工单申请开通。

    建议您先试用告警模式至少7天,7天后再将防护动作切换为“阻断”。将防护动作切换为“阻断”时,请您同步配置白名单,防止出现误阻断的情况,确保您的业务稳定运行。

    检测规则描述

    检测规则的检测对象及行为的描述。

    白名单数量

    已添加的白名单数量。

    配置检测规则

    检测规则XSS、WebShellUpload、FileDirAccess、zeroDayDetect支持自定义配置黑白名单。

    单击“检测规则配置”,系统弹出检测规则配置对话框,您可以按需进行配置。

    • XSS:自定义配置XSS的屏蔽规则。例如:xml;doctype;xmlns;import;entity
    • WebShellUpload:自定义文件后缀黑名单。例如:.jspx;.jsp;.jar;.phtml;.asp;.php;.ascx;.ashx;.cer
    • FileDirAccess:自定义配置路径检测黑名单。例如:/etc/passwd;/etc/shadow;/etc/gshadow;
    • zeroDayDetect:自定义配置zeroDay白名单堆栈。

    配置白名单

    为确保您的业务正常运转,避免应用防护过程中误告警、误阻断的情况,建议您配置防护策略时同步配置白名单。

    一个检测规则最多支持添加25个白名单条件,多个白名单之间为“或”关系,只要事件满足任一白名单条件就不会触发告警或阻断。

    单击“配置白名单”,系统弹出配置白名单对话框,单击“新增条件”,选择“加白模式”“匹配逻辑”“匹配内容”

    • 加白模式:选择需要加白的规则类型,可选择如下:
      • 请求URL:对特定的请求地址(URL)加白。
      • 攻击载荷:对特定的恶意内容加白。
      • 攻击探针:对特定的攻击探测行为加白。
      • 特性规则:对特定的安全规则加白。
    • 匹配逻辑:选择白名单匹配逻辑。可选择如下:
      • 相等:当事件内容与设定的匹配内容完全一致时,不会触发告警。
      • 不相等:当事件内容与设定的匹配内容不一致时,不会触发告警。
      • 包含:当事件内容包含设定的匹配内容时,不会触发告警。
      • 不包含:当事件内容不包含设定的匹配内容时,不会触发告警。
      • 前缀匹配:当事件内容以设定的匹配内容开始时,不会触发告警。
      • 后缀匹配:当事件内容以设定的匹配内容结束时,不会触发告警。
    • 匹配内容:输入加白的具体内容,必须与“加白模式”的类型相对应。

  7. 策略修改完成后,单击“确定”,修改完成。

删除防护策略

  1. 登录企业主机安全控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 在左侧导航栏,选择主动防御 > 应用防护,进入应用防护界面。
  4. 在界面右上角单击“策略管理”,进入策略管理页面。
  5. 在目标策略所在行的“操作”列,单击“删除”,系统弹出“删除防护策略”对话框。
  6. 确认待删除的防护策略信息,确认无误后,输入“DELETE”并单击“确定”,完成删除。

    策略列表中,无该策略,表示删除成功。

父主题: 应用防护

相关文档