最近更新时间:2023.10.07 21:51:13
首次发布时间:2023.08.21 22:07:33
Web 应用防火墙提供预配置的规则集,如漏洞防护和 bot 管理策略,对常见的 Web 攻击和 bot 提供防护和管理能力。您还可以创建自定义规则以满足特定需求,例如自定义访问白名单或黑名单规则,以放行或限制特定 IP 的访问请求。自定义规则包含规则名称和匹配条件等信息。根据匹配条件,自定义规则可以允许、阻止或记录请求流量。您可以按需启用/禁用单个规则,或者启用/禁用保护策略以全局改变其下所有规则的状态。
访问管控策略支持基于 IP 地址和位置的访问控制规则。您可以允许或拦截来自特定 IP 或 IP 段的请求,或者根据国家或地区来限制访问您的 Web 应用程序。您还可以自定义拦截响应页面,用于响应被 Web 应用防火墙拦截的请求客户端,展示预先配置好的响应代码和页面信息。
更多关于访问管控策略的配置信息,请参见配置访问管控策略。
CC 攻击(Challenge Collapsar attack) 是一种针对 Web 应用服务器的七层 DDoS 攻击,通过发送大量看似合法的 Web 请求,占用系统资源。CC 防护策略根据网络访问 IP、Session 等各种 HTTP 请求对象,设定请求限制条件,以缓解 CC 攻击对服务器的影响。
更多关于 CC 防护策略的配置信息,请参见配置 CC 防护策略。
WAF 提供漏洞防护管理的规则集,用于抵御常见的 Web 应用程序攻击,如 SQL 注入、跨站脚本攻击、网站木马等。您可以选择不同的防护级别,以适配不同场景的攻击防护需求。防护级别越严格,则检测规则越复杂。您还可以添加白名单,将符合特定属性的请求或是字段从漏洞防护策略中排除,即漏洞检测引擎不会检测符合白名单规则的内容。
更多关于漏洞防护策略的配置信息,请参见配置漏洞防护策略。
API 防护策略是指根据配置的 API 格式和参数,检查 API 请求的流量,对满足固定特征的 API 请求执行拦截或观察动作。支持手动添加 API 规则或上传 JSON 格式文件。对未配置规则的 API 访问请求,支持统一设定检查规则。
更多关于 API 防护策略的配置信息,请参见配置 API 防护策略。
通过启用或禁用 bot,可以阻止特定 bot 的不必要请求或恶意行为,确保合法请求的流量正常转发。您可以使用托管 bot 规则或自定义 bot 规则,并根据需求设定 bot 特征条件。
更多关于 bot 管理的配置信息,请参见配置 Bot 管理策略。
防敏感信息泄漏策略可以过滤服务器返回内容中的用户敏感信息,如身份证号、手机号码和银行卡信息,脱敏展示敏感信息或返回默认异常响应页面,防止用户的敏感信息泄漏。
更多关于防敏感信息泄露的配置信息,请参见配置防敏感信息泄露策略。
网页防篡改策略是指,配置需要防护的网站请求路径后,WAF 会提前缓存对应页面信息。当收到对被防护网站的请求时,返回缓存页面以保障网站内容安全,免受黑客篡改风险。
更多关于网页防篡改策略的配置信息,请参见配置网页防篡改策略。
生效范围如下:实例防护模式 > 域名防护模式 > 策略总开关 > 规则开关。即实例防护模式对整个实例生效,而规则开关仅对该实例下某个域名的对应规则生效。
生效优先级说明:
防护模式设置以您的最新操作为准。例如,您调整了实例防护模式,然后又调整了该实例下域名的域名防护模式,则该域名的防护模式按调整后的域名防护模式配置生效。
策略总开关的优先级高于单条规则开关。只有当策略总开关与规则开关都保持开启状态时,规则才会生效,具体匹配规则如下。
策略开关 | 规则开关 | 规则是否生效 |
|---|---|---|
开 | 开 | 生效 |
开 | 关 | 不生效 |
关 | 开 | 不生效 |
关 | 关 | 不生效 |
对该实例下所有防护域名的所有防护策略生效。
说明
仅高防型 WAF 实例支持回源模式。
对该域名下的所有防护策略生效。
说明
仅 CNAME 型接入的域名支持回源模式。
对该策略下所有规则生效。
对单个规则生效。只有当策略总开关与规则开关都保持开启状态时,规则才会生效。当策略总开关为关闭时,无论单个规则的开关是否开启,都不会生效。
执行动作(也称作模式)是指当某个请求触发了防护规则时,该请求将会被如何处理。不同的规则支持的执行动作不同,一共包括以下六种:
您在配置规则时可以设置高级条件,实现精细化的规则匹配。在设置高级条件时,涉及以下参数:
请求方法、请求路径、请求头等。大于、小于、等于等。