文档首页 > > 用户指南> 配置防护规则> 配置Web基础防护规则

配置Web基础防护规则

分享
更新时间:2020/08/27 GMT+08:00

该章节指导您通过Web应用防火墙服务灵活配置Web基础防护策略。Web基础防护开启后,可防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击,以及可支持Webshell检测、搜索引擎、扫描器、脚本工具、其它爬虫等Web基础防护。

您也可以参考Web基础防护功能最佳实践了解更多Web基础防护规则的配置信息。

操作须知

  • Web基础防护支持“拦截”“仅记录”模式,检测版仅支持“仅记录”模式。
  • 当Web基础防护设置为“拦截”模式时,您可以设置攻击惩罚。设置攻击惩罚后,如果访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。有关配置攻击惩罚的详细操作,请参见配置攻击惩罚标准

前提条件

已添加防护网站。

操作步骤

  1. 登录管理控制台
  2. 进入防护策略配置入口,如图1所示。

    图1 防护策略配置入口

  3. “Web基础防护”配置框中,用户可根据自己的需要参照表1更改Web基础防护的“状态”“模式”,如图2所示。

    图2 Web基础防护配置框
    表1 防护动作参数说明

    参数

    说明

    状态

    Web应用防护攻击的状态。

    • :开启状态。
    • :关闭状态。

    模式

    • 拦截:发现攻击行为后立即阻断并记录。
    • 仅记录:发现攻击行为后只记录不阻断攻击。
    须知:

    检测版仅支持“仅记录”模式。

  4. “Web基础防护”配置框中,单击“高级设置”,进入“Web基础防护”界面。
  5. 选择“防护配置”页签,根据您的业务场景,开启合适的防护功能,如图3所示,检测项说明如表2所示。

    图3 Web基础防护

    “模式”设置为“拦截”时,您可以根据需要选择配置的攻击惩罚。

    默认开启“常规检测”“扫描器”防护检测,用户可根据业务需要,开启其他需要防护的检测类型。

    表2 检测项说明

    检测项

    说明

    常规检测

    防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。

    说明:

    开启“常规检测”后,WAF将根据内置规则对常规检测项进行检测。

    Webshell检测

    防护通过上传接口植入网页木马。

    说明:

    开启“Webshell检测”后,WAF将对通过上传接口植入的网页木马进行检测。

    搜索引擎

    搜索引擎执行页面内容爬取任务,如Googlebot、Baiduspider。

    说明:

    如果不开启“搜索引擎”,WAF针对谷歌和百度爬虫不会拦截,如果您希望拦截百度爬虫的POST请求,可参照配置示例进行配置。

    扫描器

    执行漏洞扫描、病毒扫描等Web扫描任务,如OpenVAS、Nmap。

    说明:

    开启“扫描器”后,WAF将对扫描器爬虫,如OpenVAS、Nmap等进行检测。

    脚本工具

    用于执行自动化任务、程序脚本等,如httpclient、okhttp、python程序等。

    说明:

    如果您的应用程序中使用了httpclient、okhttp、python程序等脚本工具,建议您关闭“脚本工具”,否则,WAF会将使用了httpclient、okhttp、python程序等脚本工具当成恶意爬虫,拦截该应用程序。

    其他爬虫

    各类用途的爬虫程序,如站点监控、访问代理、网页分析等。

    说明:

    开启“其他爬虫”后,WAF将对各类用途的爬虫程序进行检测。

    1. 防护等级设置。

      在页面上方,选择防护等级,Web基础防护设置了三种防护等级:“宽松”“中等”“严格”,默认情况下,选择“中等”

      表3 防护等级说明

      防护等级

      说明

      宽松

      防护粒度较粗,只拦截攻击特征比较明显的请求。

      当误报情况较多的场景下,建议选择“宽松”模式。

      中等

      默认为“中等”防护模式,满足大多数场景下的Web防护需求。

      严格

      防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求。

      当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时,建议使用“严格”模式。

    2. 防护检测类型设置。

      默认开启“常规检测”“扫描器”防护检测,用户可根据业务需要,参照表2开启其他需要防护的检测类型。

  6. 选择“防护规则”页签,查看Web基础防护规则的详细信息,如图4所示,相关参数说明如表4所示。

    图4 查看防护规则

    单击,您可以根据“CVE编号”“危险等级”“应用类型”“防护类型”,搜索指定规则。

    表4 防护规则说明

    参数

    说明

    规则ID

    防护规则的ID,由系统自动生成。

    CVE编号

    防护规则对应的CVE(Common Vulnerabilities & Exposures,通用漏洞披露)编号。对于非CVE漏洞,显示为--。

    危险等级

    防护规则防护漏洞的危险等级,包括:

    • 高危
    • 中危
    • 低危

    应用类型

    防护规则对应的应用类型,例如,WordPress。

    防护类型

    防护规则的类型,例如,命令注入。

    规则描述

    防护规则对应的攻击详细描述。

防护效果

假如已添加域名“www.example.com”,且已开启了Web基础防护的“常规检测”,防护模式为“拦截”。您可以参照以下步骤验证WAF防护效果:

  1. 清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。

    • 不能正常访问,参照域名接入WAF章节重新完成域名接入。
    • 能正常访问,执行2

  2. 清理浏览器缓存,在浏览器中输入“http://www.example.com?id=1%27%20or%201=1”模拟SQL注入攻击。
  3. 返回Web应用防火墙控制界面,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,查看防护域名拦截日志,您也可以下载防护事件数据

配置示例

放行百度或者谷歌的搜索引擎,同时拦截百度的POST请求。

  1. 参照操作步骤“搜索引擎”设置为放行,即将“搜索引擎”“状态”设置为
  2. 参照配置精准访问防护规则配置如图4 的规则。

    图5 拦截POST请求

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问