内置规则集管理
WAF预先内置了用于检测常见的Web应用攻击的安全规则,并按照防护粒度,将所有规则划分到三个不同的等级中:“默认规则集【宽松】”、“默认规则集【中等】”、“默认规则集【严格】”。所有内置的规则均由WAF管理,并定期更新,以针对新的攻击特征进行安全防护。您也可以提交工单开通自定义防护规则集功能,并根据实际业务情况,创建自定义规则集,为默认规则集开启或关闭自动更新,配置防护动作。
配置完规则集后,您可以在配置Web基础防护时,选择内置规则集或自定义规则集。
前提条件
查看默认规则
您可以在“内置规则集管理”页面,“默认规则”页签,查看所有内置规则。
- 登录Web应用防火墙控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
- 在左侧导航栏,选择。
- 在“默认规则”页签,查看所有内置规则详情和规则更新动态。
- 内置规则详情
所有内置规则,默认按照更新时间由近及远排列。您可以在规则列表进行如下操作:
- 自定义显示列(图1的图标①):单击
图标,选择规则列表要显示的列,设置表格内容是否自动折行。 - 设置规则列表筛选条件(图1的图标②):选中多个筛选条件时,按“且”的关系展示。
- 按更新时间筛选:支持查看全部时间、自定义时间段内更新的规则。
- 按所属规则集等级筛选:支持查看所属全部规则集、宽松规则集、中等规则集或严格规则集的规则。
- 按属性筛选:支持查看指定规则ID、规则描述、CVE编号、危险等级、应用类型、防护类型的规则。
- 排序:单击规则ID、规则描述、CVE编号、危险等级、应用类型、防护类型、更新时间旁的
,设置按指定条件升序或降序排列。 - 复制指定内容:单击要复制的规则ID、规则描述、CVE编号、应用类型、防护类型旁的
,复制当前内容。
表1 默认规则参数说明 参数
说明
规则ID
防护规则的ID。复制该ID后,可以在防护事件列表,根据该ID查看防护详情。
规则描述
规则的详情描述。
CVE编号
CVE(Common Vulnerabilities and Exposures,通用漏洞与暴露)编号是用于公开识别已知网络安全漏洞的标准标识系统。一个编号对应一个特定漏洞。CVE编号的格式为:CVE-年份-序列号。
危险等级
防护规则所防护威胁的严重程度。
应用类型
防护规则所防护的攻击来自的应用类型。
防护类型
防护规则所防护的攻击类型,包括:SQL注入、恶意爬虫、本地文件包含、跨站脚本、命令注入、远程文件包含、网站木马等。
更新时间
防护规则会根据攻击特征的变化进行更新,以确保规则防御的有效性。
- 自定义显示列(图1的图标①):单击
- 规则更新动态
- 导出全部内置规则集
- 内置规则详情
新建自定义规则集
新建自定义规则集功能需提交工单开通。仅支持从系统内置的宽松、中等、严格规则集复制规则后,设置更新规则、防护动作。
- 登录Web应用防火墙控制台。
- 在控制台左上角,单击图标,选择区域或项目。
- (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
- 在左侧导航栏,选择。
- 在“内置规则集”页签,单击“新建自定义规则集”。
- 在“新建自定义规则集”对话框,完成如下配置后,单击“确定”。
表2 新建自定义规则集 参数
说明
取值样例
自定义规则组名称
设置规则组名称。自定义规则组名称只能由数字、字母、中划线、下划线和英文句点组成,且不超过64个字符。
waf
备注
设置自定义规则组备注信息。
-
初始默认规则集
选择要配置的初始规则集,支持选择宽松规则组、中等规则组、严格规则组。
宽松规则组
规则更新设置
规则更新状态:WAF会定期更新内置规则,并同步至您复制的规则集,您可以开启或关闭自动更新。
关闭
防护动作:支持配置为拦截或仅记录。设置该防护动作后,会同步在Web基础防护规则生效。
仅记录
完成以上配置后,您可以在配置Web基础防护规则时,选择已创建的自定义规则集。
