漏洞防护提供常见的 Web 应用攻击,如 SQL 注入、XSS 攻击、网页挂马等安全防护能力,可以对特定 HTTP(S) 请求的 URL、字段等进行检测控制。
防护等级
WAF 提供了三种托管防护等级,不同托管防护等级覆盖的检测规则范围不同。您也可以在 WAF 提供的漏洞防护规则范围内,自定义启用不同的漏洞防护规则。
- 托管防护:选择托管防护等级,则默认启用对应防护等级下的所有预置防护规则。规则数量覆盖面:严格>正常>宽松。
- 严格:包含对复杂攻击请求的检测规则,覆盖最多的漏洞防护规则,包含防护等级为正常和宽松的规则。
- 正常:对某类攻击的通用检测或误报较少的规则,包含防护等级为宽松的规则。默认为正常防护等级。
- 宽松:适用于防护攻击特征较为明显的请求,或是希望减少误报的场景。
- 自定义防护:支持在当前内置的漏洞检测规则范围内,自定义开启或关闭对应的规则。
防护类型
WAF 内置漏洞检测规则组,支持常见公共漏洞和暴露(CVE)和 OWASP Top 10 的漏洞。分为常规检测、逻辑漏洞和 Web 后门三种防护类型,每种防护类型对应不同的漏洞检测规则,具体说明如下。
- 常规检测:对常见的 SQL 注入、命令注入、表达式注入、XPath 注入、LDAP 注入、任意文件读/目录遍历、LFI、SSTI、SSRF、XSS 等漏洞攻击检测及防护。
- 逻辑漏洞:对部分中间件存在越权、表单绕过漏洞进行检测与拦截。
- Web 后门:通过对以 asp、php、jsp 或者 cgi 等网页文件形式存在的 Web 命令进行检测,拦截网页木马。
前提条件
您已将需要防护的网站接入 WAF 实例。接入相关操作,请参见接入方式概述。
开启漏洞防护
- 登录Web应用防火墙控制台。
- 在顶部菜单栏选择实例所属地域。
- 在左侧导航选择防护策略>漏洞防护。
- 开启待防护域名的漏洞防护功能。
- 选择需要添加策略的域名。
- (可选)确认当前域名的防护模式为“启用防护”,否则需要单击更改防护模式修改。
- 开启策略启用开关。
- 配置漏洞防护等级。
- 选择托管防护:
- 根据网站业务场景及攻击现状选择严格、正常或者宽松并确认。默认为正常。
- 单击查看规则可预先查看该防护等级对应的所有防护规则。
支持按防护类型、风险等级筛选。支持按照规则名称、规则 ID 和 CVE ID 搜索。
- 选择自定义防护:
- 选择自定义并确认。
- 单击配置规则,自定义需要开启的规则。
支持按防护类型、规则等级和风险等级筛选。支持按照规则名称、规则 ID 和 CVE ID 搜索。说明
通过筛选不同的规则等级可以查看不同托管防护模式对应的规则详情,您也可以基于已有防护等级规则组快速设置自定义漏洞防护规则。
- 启用单条规则,或是勾选多条规则后单击批量开启,然后单击确定。
说明
漏洞防护规则仅在单击确定后才会生效。
- 选择托管防护:
- (可选)配置扫描防护参数。
单击设置规则。
高频扫描:防护基于脚本和自动化工具的快速自动扫描行为。启用后将统计高频扫描行为并执行封禁策略,默认为启用状态。
参数
说明
配置示例
统计对象
支持设置自定义 Header 或者源 IP,用于统一按自定义 Header 或者源 IP 来查看满足该规则的所有流量命中情况。
源 IP
统计时长
统计的时间周期,支持配置为 1-60 秒,默认为 5 秒。
5 秒
触发次数
触发漏洞托管规则的次数,支持配置为 1-100 次,默认为 20 次。
20 次
封禁时间
处置动作的生效时间,支持配置为 10-3600 秒,默认为 60 秒。
60 秒
执行动作
- 观察:放行请求流量,但会将请求行为上报至攻击日志。
- 拦截:拦截请求流量,将请求行为上报至攻击日志。如果配置了自定义拦截响应页面,WAF 会将配置的拦截响应页面信息返回给客户端。
观察
目录遍历:防护对 Web 根目录文件夹之外的文件和目录的扫描行为,以保障关键文件和配置。启用后将统计目录遍历行为并执行封禁策略,默认为启用状态。
参数
说明
配置示例
统计对象
支持以源 IP 为统计对象,用于统一按源 IP 来查看满足该规则的所有流量命中情况。
源 IP
统计时长
统计的时间周期,支持配置为 1-60 秒,默认为 5 秒。
5 秒
响应码范围
需要统计的响应码,最多可同时配置 10 个响应码,使用回车键确认。默认为 404。
404
命中次数
- 请求次数:发起目录扫描的请求次数,支持配置为 1-100 次,默认为 20 次。
- 已配置响应码占比:已配置响应码在所有统计对象中所占比例,默认为 60%。
20 次,60%
封禁时间
处置动作的生效时间,支持配置为 10-3600 秒,默认为 60 秒。
60 秒
执行动作
- 观察:放行请求流量,但会将请求行为上报至攻击日志。
- 拦截:拦截请求流量,将请求行为上报至攻击日志。如果配置了自定义拦截响应页面,WAF 会将配置的拦截响应页面信息返回给客户端。
观察
单击确定。
- 选择防护动作。
- 观察:放行请求流量,但会将请求行为上报至攻击日志。
- 拦截:拦截请求流量,将请求行为上报至攻击日志。如果配置了自定义拦截响应页面,WAF 会将配置的拦截响应页面信息返回给客户端。
- (可选)查看不同防护类型对应的规则详情。
- 查看防护类型:单击①可以展开防护类型查看防护类型的二级分类。
- 查看规则详情:单击②可进入漏洞规则列表页面,查看该攻击类型下启用的全部规则信息。支持通过防护类型和风险等级进行规则筛选,您也可以按规则名称、规则 ID 和 CVE ID 检索目标规则信息。
配置请求白名单
对特定请求进行加白,漏洞检测引擎不会检测加白的请求。
登录Web应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略>漏洞防护。
开启待防护域名的请求加白功能。
- 选择需要添加策略的域名。
- (可选)确认当前域名的防护模式为“启用防护”,否则需要单击更改防护模式修改。
- 开启策略启用开关。
单击添加规则,配置请求加白规则参数。
参数
说明
配置示例
规则名称
防护规则名称。
说明
- 以中文、字母、数字开头。
- 允许字母、数字、中文、点“.”、下划线“_”和短横线“-”。
- 长度为 1-128 个字符。
请求加白_1
请求路径
填写需要防护的网站路径,可以是具体的某个页面路径,也可以是整个网站下的所有路径。
- 匹配具体路径:某个具体的页面路径,例如需要拦截对
test.com/test.html的访问,则直接填写域名后的路径信息/test.html即可。 - 匹配目录下全部路径:使用
*可以匹配全部路径,且*需在路径末尾。- 匹配整个网站下的所有路径,则填写
/*即可。 - 匹配某个目录下的全部路径,则在对应目录路径下使用
*即可。例如/test/*,表示匹配/test/目录下的全部路径。
注意
/test/*/abc.html和/test/*都表示匹配/test/目录下的全部路径。 - 匹配整个网站下的所有路径,则填写
/test.html
规则开关
开启或关闭当前规则。
开启
高级条件
- 设置其他匹配字段、逻辑符和匹配内容。匹配字段和逻辑符相关说明请参考高级条件配置说明。
- 请求路径与高级条件之间为
且的关系,即当请求路径和高级条件都满足,方可触发规则。 - 多请求路径匹配:如需规则对多个请求路径生效,请先配置主请求路径为目录下的全部路径,再添加匹配字段为请求路径的条件。例如需要配置
/test/123.html和/test/abc.jpg,则可参考如下操作:- 将请求路径设置为
/test/*。 - 增加 2 条条件:
- 条件 1:
请求路径等于/test/123.html - 条件 2:
请求路径等于/test/abc.jpg
- 条件 1:
- 两者条件关系设置为
OR。
- 将请求路径设置为
无
单击确定,完成规则配置。
配置完成后,可在请求加白列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。
配置字段白名单
对请求的特定字段进行加白,漏洞检测引擎不会检测加白的字段。
登录Web应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略>漏洞防护。
开启待防护域名的字段加白功能。
- 选择需要添加策略的域名。
- (可选)确认当前域名的防护模式为“启用防护”,否则需要单击更改防护模式修改。
- 开启策略启用开关。
单击添加规则,配置请求加白规则参数。
参数
说明
配置示例
规则名称
防护规则名称。
说明
- 以中文、字母、数字开头。
- 允许字母、数字、中文、点“.”、下划线“_”和短横线“-”。
- 长度为 1-128 个字符。
字段加白_1
加白区域
填写需要加白的区域,可选请求 Query-Arg、请求 Cookie、请求 Header、请求 Body、请求 PATH。
请求 Header
加白字段
填写加白区域中需要加白的具体字段。
说明
每个单词的首字母需要大写。
User-Agent
规则开关
开启或关闭当前规则。
开启
单击确定,完成规则配置。
配置完成后,可在字段加白列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。