更新时间:2025-01-07 GMT+08:00
分享

管理应用防护策略

操作场景

应用防护策略支持添加、编辑、删除,具体使用场景如下:

  • 添加:企业主机安全提供了“默认策略”,其中包含应用防护全量检测规则,具体请参见检测能力。如果您需要为服务器定制防护策略,可单独添加防护策略,对策略中的检测规则项及规则配置进行自定义选择和设置。
  • 编辑:对于您自定义添加的防护策略,如需修改,可编辑该策略。
  • 删除:对于不需要的自定义防护策略(未关联服务器),可直接删除。

添加防护策略

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 选择主机防御 > 应用防护 > 防护策略,进入“防护策略”页面,参数说明如表1所示。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

    表1 防护策略参数说明

    参数名称

    参数说明

    防护策略名称

    添加的防护策略的名称。

    检测规则

    目标策略支持的检测规则项。

    关联服务器数

    目标策略已绑定的服务器数。

  4. 单击“添加防护策略”,在弹窗中配置防护策略参数,参数说明如表2所示。

    图1 添加防护策略
    表2 应用防护策略参数说明

    参数名称

    参数说明

    操作系统类型

    选择防护策略适用的服务器操作系统类型。

    防护策略名称

    自定义当前添加的策略名称。

    检测规则标识

    检测规则的唯一标识。如果需要启用则勾选目标检测规则即可,不启用则不勾选。

    防护动作

    选择目标检测规则在检测时防护的动作。

    • 检测:针对目标规则的检测对象进行检测,对检测的风险事件进行告警上报。
    • 检测并阻断/拦截:针对目标规则的检测对象进行检测,对检测到的风险事件进行告警上报,同时会对检测到的风险项进行直接阻断或拦截。
      须知:

      阻断或拦截可能导致业务中断风险,请谨慎操作。

    检测规则描述

    对目标防护策略的检测对象及行为的描述。

  5. 单击“操作”列支持“检测规则配置”的项,可自定义修改目标检测规则的规则内容,支持的检测规则如表3所示。

    表3 支持自定义配置规则内容的检测项

    支持自定义配置的检测项

    配置的规则内容描述

    配置规则样例

    XXE

    自定义配置XXE黑名单的协议。

    .xml;.dtd;

    XSS

    自定义配置XSS的屏蔽规则。

    xml;doctype;xmlns;import;entity

    WebShellUpload

    自定义配置检测为黑名单的文件后缀。

    .jspx;.jsp;.jar;.phtml;.asp;.php;.ascx;.ashx;.cer

    FileDirAccess

    自定义配置检测为黑名单的路径。

    /etc/passwd;/etc/shadow;/etc/gshadow;

  6. 确认配置的规则及勾选的检测项无误,单击确定,可在防护策略页面查看是否添加完成。

编辑防护策略

  1. 登录管理控制台,进入企业主机安全页面。
  2. 选择主机防御 > 应用防护 > 防护策略,进入“防护策略”页面,参数说明如表4所示。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

    表4 防护策略参数说明

    参数名称

    参数说明

    防护策略名称

    添加的防护策略的名称。

    检测规则

    目标策略支持的检测规则项。

    关联服务器数

    目标策略已绑定的服务器数。

  3. 单击目标策略“操作”列的“编辑”,可对防护策略名称、支持的检测规则及规则内容进行选择和配置。

    表5 应用防护策略参数说明

    参数名称

    参数说明

    防护策略名称

    自定义当前添加的策略名称。

    检测规则标识

    检测规则的唯一标识。如果需要启用则勾选目标检测规则即可,不启用则不勾选。

    防护动作

    选择目标检测规则在检测时防护的动作。

    • 检测:针对目标规则的检测对象进行检测,对检测的风险事件进行告警上报。
    • 检测并阻断/拦截:针对目标规则的检测对象进行检测,对检测的风险事件进行告警上报,同时会对检测到的风险项进行直接阻断或拦截。
      须知:

      阻断或拦截可能导致业务中断风险,请谨慎操作。

    检测规则描述

    对目标防护策略的检测对象及行为的描述。

  4. 确认配置的规则及勾选的检测项无误,单击确定,可在防护策略页面查看目标策略是否修改完成。

删除防护策略

  1. 登录管理控制台,进入企业主机安全页面。
  2. 选择主机防御 > 应用防护 > 防护策略,进入“防护策略”页面,参数说明如表6所示。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

    表6 防护策略参数说明

    参数名称

    参数说明

    防护策略名称

    添加的防护策略的名称。

    检测规则

    目标策略支持的检测规则项。

    关联服务器数

    目标策略已绑定的服务器数。

  3. 单击目标策略“操作”列的“删除”,在弹窗中确认策略信息无误,单击确定,策略删除完成。

    未关联服务器的策略才支持删除。

相关文档