配置全局白名单规则对误报进行忽略

前提条件

• 已将网站成功接入WAF。
• 已新增防护策略，并添加策略适用的防护域名。
• 如果使用独享WAF，确保独享引擎已升级到最新版本，具体的操作请参见升级独享引擎实例。

约束条件

• 当“不检测模块”配置为“所有检测模块”时，通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。
• 当“不检测模块”配置为“Web基础防护模块”时，仅对WAF预置的Web基础防护规则和网站反爬虫的“特征反爬虫”拦截或记录的攻击事件可以配置全局白名单规则，防护规则相关说明如下：
  • Web基础防护规则

    防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击，以及Webshell检测、深度反逃逸检测等Web基础防护。

  • 网站反爬虫的“特征反爬虫”规则

    可防护搜索引擎、扫描器、脚本工具、其它爬虫等爬虫。

• 您可以通过处理误报事件来配置全局白名单规则，处理误报事件后，您可以在全局白名单规则列表中查看该误报事件对应的全局白名单规则。
• 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。

配置全局白名单规则

1. 登录Web应用防火墙控制台。
2. 在控制台左上角，单击图标，选择区域或项目。
3. (可选) 如果您已开通企业项目，在左侧导航栏上方，单击“按企业项目筛选”下拉框，选择您所在的企业项目。完成后，页面将为您展示该企业项目下的相关数据。
4. 在左侧导航栏，单击“防护策略”。
5. 单击目标策略名称，进入目标策略的防护规则配置页面。

   在配置防护规则前，请确认目标防护策略已绑定防护域名，即绑定策略生效目标。一条防护策略可以适用于多个防护域名，但一个防护域名只能绑定一个防护策略。

6. 单击“全局白名单”配置框，确认已开启全局白名单防护规则。

   ：开启状态。

7. 在“全局白名单”规则配置列表的左上方，单击“添加规则”。
8. 添加全局白名单规则，参数说明如表1所示。
   图1 添加全局白名单规则
   

   表1 参数说明

   参数	参数说明	取值样例
   防护方式	选择要应用此策略的域名。 “全部域名”：默认防护应用此策略的所有防护域名。 “指定域名”：防护应用此策略的指定防护域名。	指定域名
   防护域名	“防护方式”选择“指定域名”时，选择或手动输入策略绑定的防护域名。单击“添加”，支持配置多个域名。 接入模式不同，选择或手动输入的域名格式不同： 云模式-CNAME接入：完整防护域名。 云模式-ELB接入：域名:elb id。 防护域名为单域名时，选择或手动输入域名:elb id。 防护域名为泛域名时，选择或手动输入*:elb id。 例如，添加的防护域名为泛域名“*”，elb id为“c8c5fbd9-XXXX-XXXX-XXXX-d6f341a46ee5”，则此处指定域名为：“*:c8c5fbd9-XXXX-XXXX-XXXX-d6f341a46ee5”。 独享模式接入：完整防护域名或IP。	云模式-CNAME接入模式：“www.example.com” 云模式-ELB接入模式：“*:c8c5fbd9-XXXX-XXXX-XXXX-d6f341a46ee5” 独享模式：“www.example.com”或“192.168.2.3”。
   条件列表	配置要匹配的请求特征。请求一旦命中该特征，WAF则按照配置的规则处置该请求。 至少需要配置一项，本条规则才能生效。 单击条件框内的“添加条件”增加组内新的条件，最多可添加30个条件。配置多个条件时，需同时满足，本条规则才生效。 单击条件框外的“添加条件”增加1组新的条件，最多可添加3组条件。多组条件之间是“或”的关系，即满足其中1组条件时，本条规则即生效。 条件设置参数说明如下： 字段：详细说明，请参见条件字段说明。 子字段：当“字段”选择“IPv4”、“IPv6”、“Params”、“Cookie”、“Header”或“Response Header”时，请根据实际使用需求配置子字段。子字段的长度不能超过2048字符。 当“字段”选择“Response Header”或者“Header”，且“子字段”非“所有子字段”、“任意子字段”时，支持“子字段大小写敏感”。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 当“逻辑”关系选择包含任意一个、不包含任意一个、等于任意一个、不等于任意一个、前缀为任意一个、前缀不为任意一个、后缀为任意一个、后缀不为任意一个时，需要选择引用表。	“字段”为“路径” “逻辑”为“包含” “内容”为“/product”
   不检测模块	选择要添加的全局白名单的模块。 所有检测模块：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 Web基础防护模块：支持按规则类型设置不检测的Web基础防护模块，例如对某些规则ID或者事件类别进行忽略设置。例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查。 按ID：按防护规则ID，配置不检测的模块。 选择该项后，需添加不检测规则ID（可在防护事件列表的规则ID列查询），多个ID以英文逗号（,）分隔。最多可输入100个ID。 输入规则ID后，单击Enter键，可查看已添加的规则ID、规则描述、危险等级信息。 您也可以直接单击规则ID“操作”列的“误报处理”，设置“不检测规则类型”为“按ID”后，单击“确认添加”，将该规则ID加入全局白名单。更多操作，请参见处理误报事件。 按类别：按攻击事件类别，配置不检测的模块。一个类别会包含一个或者多个规则ID。 选择该项后，需选择不检测规则类别，支持多选。不检测规则类别包括：XXS攻击、网站木马、其他类别攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 所有内置规则：Web基础防护规则启用的所有防护规则。 非法请求：可对非法请求加白。 非法请求判定标准如下： 请求头中参数个数超过512。 URL中参数个数超过2048。 Content-Type:application/x-www-form-urlencoded，且请求体中参数个数超过8192。	不检测模块：Web基础防护模块 不检测规则类型：按ID 不检测规则ID：041046
   规则描述	可选参数，设置该规则的备注信息。	不拦截SQL注入攻击
   不检测字段	如果您只想忽略来源于某攻击事件下指定字段的攻击，可配置开启不检测字段开关，并配置不检测指定字段。完成后，WAF将不再拦截指定字段的攻击事件，且条件列表将作为非必选配置。 支持不检测的字段包括：Params、Cookie、Header、Body、Multipart。 支持不检测全部字段或指定字段。 全部字段：Params、Cookie、Header、Body、Multipart字段均支持。 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 指定字段：仅Params、Cookie、Header字段支持。选择“指定字段”时，需填写子字段。 当选择“Cookie”字段时，“防护域名”可以为空。	Params 全部

9. 单击“确定”。

   完成以上配置后，您还可以执行以下操作：

   • 查看规则状态：在防护规则列表，查看已添加的规则。此时，“规则状态”默认为“已开启”。
   • 关闭规则：如果您暂时不想使该规则生效，可在目标规则“操作”列，单击“关闭”。
   • 删除或修改规则：您也可以在目标规则“操作”列，单击“删除”或“修改”，删除或修改已添加的防护规则。
   • 验证防护效果：
     1. 模拟XSS攻击。
     2. 在“防护事件”页面，查看防护日志。