文档首页> Web应用防火墙 WAF> 用户指南> 配置防护规则> 配置全局白名单(原误报屏蔽)规则
更新时间:2023-01-31 GMT+08:00
分享

配置全局白名单(原误报屏蔽)规则

当WAF根据您配置的Web基础防护规则或自定义规则检测到符合规则的恶意攻击时,会按照规则中的防护动作对攻击事件进行处理。

对于误报情况,您可以添加白名单对误报进行忽略,对某些规则ID或者事件类别进行忽略设置(例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查)。

  • “不检测模块”选择“所有检测模块”时:通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。
  • “不检测模块”选择“Web基础防护模块”时:可根据选择的“不检测规则类型”,对某些规则ID或者事件类别进行忽略设置(例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查)。

如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。

前提条件

已添加防护网站。

约束条件

  • “不检测模块”配置为“所有检测模块”时,通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。
  • “不检测模块”配置为“Web基础防护模块”时,仅对WAF预置的Web基础防护规则和网站反爬虫的“特征反爬虫”拦截或记录的攻击事件可以配置全局白名单(原误报屏蔽)规则,防护规则相关说明如下:
    • Web基础防护规则

      防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击,以及Webshell检测、深度反逃逸检测等Web基础防护。

    • 网站反爬虫的“特征反爬虫”规则

      可防护搜索引擎、扫描器、脚本工具、其它爬虫等爬虫。

  • 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
  • 您可以通过处理误报事件来配置全局白名单(原误报屏蔽)规则,处理误报事件后,您可以在全局白名单(原误报屏蔽)规则列表中查看该误报事件对应的全局白名单(原误报屏蔽)规则。
  • 目前以下区域支持全局白名单(原误报屏蔽)规则:
    • 华北-北京一
    • 华北-北京四
    • 华东-上海二
    • 华南-广州

操作步骤

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
  4. 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
  5. (旧版)在目标域名所在行的“防护策略”栏中,单击“配置防护策略”,进入“防护策略”页面。
  6. (新版)在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”,进入“防护策略”页面。

    图1 域名列表

  7. “全局白名单(原误报屏蔽)”配置框中,用户可根据自己的需要更改“状态”,单击“自定义全局白名单规则”,进入规则配置页面。

    图2 全局白名单配置框

  8. “全局白名单”规则配置页面左上角,单击“添加规则”
  9. 添加全局白名单规则,参数说明如表1所示,

    图3 添加全局白名单规则
    表1 参数说明

    参数

    参数说明

    取值样例

    防护方式

    • “全部域名”:默认防护当前策略下绑定的所有域名。
    • “指定域名”:配置当前策略下需要防护的是泛域名对应的单域名。

    指定域名

    防护域名

    “防护方式”选择“指定域名”时,需要配置此参数。

    需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名,且需要输入完整的域名。

    www.example.com

    条件列表

    单击“添加”增加新的条件,一个防护规则至少包含一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。

    条件设置参数说明如下:
    • 字段
    • 子字段:当字段选择“Params”“Cookie”或者“Header”时,请根据实际使用需求配置子字段。
      须知:

      子字段的长度不能超过2048字节,且只能由数字、字母、下划线和中划线组成。

    • 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。
    • 内容:输入或者选择条件匹配的内容。

    “路径”包含“/product”

    不检测模块

    • “所有检测模块”:通过WAF配置的其他所有的规则都不会生效,WAF将放行该域名下的所有请求流量。
    • “Web基础防护模块”:选择此参数时,可根据选择的“不检测规则类型”,对某些规则ID或者事件类别进行忽略设置(例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查)。

    Web基础防护模块

    不检测规则类型

    “不检测模块”选择“Web基础防护模块”时,您可以选择以下三种方式进行配置:

    • 按ID:按攻击事件的ID进行配置。
    • 按类别:按攻击事件类别进行配置,如:XSS、SQL注入等。一个类别会包含一个或者多个规则id。
    • 所有内置规则:Web基础防护规则里开启的所有防护规则。

    按类别

    不检测规则ID

    “不检测规则类型”选择“按ID”时,需要配置此参数。

    “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。单击该攻击事件所在行的“误报处理”获取ID编号。建议您直接参照处理误报事件在防护事件页面配置全局白名单(原误报屏蔽)规则。

    041046

    不检测规则类别

    “不检测规则类型”选择“按类别”时,需要配置此参数。

    在下拉框中选择事件类别。

    WAF支持的防护事件类别有:XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。

    SQL注入攻击

    规则描述

    可选参数,设置该规则的备注信息。

    不拦截SQL注入攻击

    高级设置

    如果您只想忽略来源于某攻击事件下指定字段的攻击,可在“高级设置”里选择指定字段进行配置,配置完成后,WAF将不再拦截指定字段的攻击事件。

    在左边第一个下拉列表中选择目标字段。支持的字段有:Params、Cookie、Header、Body、Multipart。
    • 当选择“Params”“Cookie”或者“Header”字段时,可以配置“全部”或根据需求配置子字段。
    • 当选择“Body”“Multipart”字段时,可以配置“全部”
    • 当选择“Cookie”字段时,“防护域名”“路径”可以为空。
    说明:

    当字段配置为“全部”时,配置完成后,WAF将不再拦截该字段的所有攻击事件。

    Params

    全部

  10. 单击“确认添加”

    图4 全局白名单(原误报屏蔽)规则列表

相关操作

  • 规则添加成功后,默认的“规则状态”“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”
  • 若需要修改添加的全局白名单(原误报屏蔽)规则时,可单击待修改的全局白名单(原误报屏蔽)规则所在行的“修改”,修改全局白名单(原误报屏蔽)规则。
  • 若需要删除添加的全局白名单(原误报屏蔽)规则时,可单击待删除的全局白名单(原误报屏蔽)规则所在行的“删除”,删除全局白名单(原误报屏蔽)规则。
分享:

    相关文档

    相关产品