配置漏洞防护策略

漏洞防护提供常见的 Web 应用攻击，如 SQL 注入、XSS 攻击、网页挂马等安全防护能力，可以对特定 HTTP(S) 请求的 URL、字段等进行检测控制。

背景信息

防护等级

WAF 提供了三种托管防护等级，不同托管防护等级覆盖的检测规则范围不同。您也可以在 WAF 提供的漏洞防护规则范围内，自定义启用不同的漏洞防护规则。

• 托管防护：选择托管防护等级，则默认启用对应防护等级下的所有预置防护规则。规则数量覆盖面：严格>正常>宽松。
  • 严格：包含对复杂攻击请求的检测规则，覆盖最多的漏洞防护规则，包含防护等级为正常和宽松的规则。
  • 正常：对某类攻击的通用检测或误报较少的规则，包含防护等级为宽松的规则。默认为正常防护等级。
  • 宽松：适用于防护攻击特征较为明显的请求，或是希望减少误报的场景。
• 自定义防护：支持在当前内置的漏洞检测规则范围内，自定义开启或关闭对应的规则。

防护类型

WAF 内置漏洞检测规则组，分为常规检测、逻辑漏洞和 Web 后门三种防护类型，每种防护类型对应不同的漏洞检测规则，具体说明如下。

• 常规检测：对常见的 SQL 注入、命令注入、表达式注入、XPath 注入、LDAP 注入、任意文件读/目录遍历、LFI、SSTI、SSRF、XSS 等漏洞攻击检测及防护。
• 逻辑漏洞：对部分中间件存在越权、表单绕过漏洞进行检测与拦截。
• Web 后门：通过对以 asp、php、jsp 或者 cgi 等网页文件形式存在的 Web 命令进行检测，拦截网页木马。

前提条件

您已将需要防护的网站接入 WAF 实例。

开启漏洞防护

1. 登录Web应用防火墙控制台。
2. 在顶部菜单栏选择实例所属地域。
3. 在左侧导航选择防护策略>漏洞防护。
4. 开启待防护域名的漏洞防护功能。
   1. 在页面上方选择需要开启漏洞防护的域名。
   2. 单击漏洞防护。
   3. 开启策略启用开关。
      
5. 配置漏洞防护等级。
   • 选择托管防护
     1. 根据网站业务场景及攻击现状选择严格、正常或者宽松并确认。默认为正常。
     2. 单击查看规则可预先查看该防护等级对应的所有防护规则。
        
        支持按防护类型、风险等级筛选。支持按照规则名称、规则 ID 和 CVE ID 搜索。
   • 选择自定义防护
     1. 选择自定义并确认。
     2. 单击配置规则，自定义需要开启的规则。
        
        支持按防护类型、规则等级和风险等级筛选。支持按照规则名称、规则 ID 和 CVE ID 搜索。

        说明

        通过筛选不同的规则等级可以查看不同托管防护模式对应的规则详情，您也可以基于已有防护等级规则组快速设置自定义漏洞防护规则。

     3. 启用单条规则，或是勾选多条规则后单击批量开启，然后单击确定。

        说明

        漏洞防护规则仅在单击确定后才会生效。

6. 选择防护动作。
   • 观察：放行请求流量，但会将请求行为上报至攻击日志。
   • 拦截：拦截请求流量，将请求行为上报至攻击日志。如果配置了自定义拦截响应页面，WAF 会将配置的拦截响应页面信息返回给客户端。
7. （可选）单击高级设置，可开启或关闭目录遍历防护和高频扫描防护规则。
   • 目录遍历防护：防护对 Web 根目录文件夹之外的文件和目录的扫描行为，以保障关键文件和配置。启用后将统计目录遍历行为并执行封禁策略。默认为启用状态。
   • 高频扫描防护：防护基于脚本和自动化工具的快速自动扫描行为。启用后将统计高频扫描行为并执行封禁策略。默认为启用状态。
8. （可选）查看不同防护类型对应的规则详情。
   • 查看防护类型：单击①可以展开防护类型查看防护类型的二级分类。
   • 查看规则详情：单击②可进入漏洞规则列表页面，查看该攻击类型下启用的全部规则信息。支持通过防护类型和风险等级进行规则筛选，您也可以按规则名称、规则 ID 和 CVE ID 检索目标规则信息。
     

配置请求白名单

对特定请求进行加白，漏洞检测引擎不会检测加白的请求。

1. 登录Web应用防火墙控制台。

2. 在顶部菜单栏选择实例所属地域。

3. 在左侧导航选择防护策略>漏洞防护。

4. 开启待防护域名的请求加白功能。

   1. 在页面上方选择需要开启请求加白的域名。
   2. 单击请求加白。
   3. 开启策略启用开关。
      

5. 单击添加规则，配置请求加白规则参数。

   参数	说明
   规则名称	防护规则名称。支持英文、汉字和数字，不支持特殊字符，最多不超过 20 个字符。
   请求路径	填写需要匹配 CC 规则的网站路径，可以是具体的某个页面 URL，也可以针对整个网站。 某个具体的 URL 地址，例如需要放行test.com/test.html，则填写 /test.html。 针对整个网站，则填写/即可。 说明 支持填写多条网站路径，用英文逗号分隔。
   规则开关	开启或关闭当前规则。
   高级条件	条件关系：指添加的多条高级条件关系，当前支持 AND 和 OR。 匹配字段：选择匹配字段，目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。 逻辑符：选择逻辑符，目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。 匹配内容：填写该条规则需要匹配的具体内容。 操作：支持删除单条高级条件规则。

6. 单击确定，完成规则配置。
   配置完成后，可在请求加白列表查看规则信息，并进行规则关闭/开启、编辑和删除操作。

配置字段白名单

对请求的特定字段进行加白，漏洞检测引擎不会检测加白的字段。

1. 登录Web应用防火墙控制台。

2. 在顶部菜单栏选择实例所属地域。

3. 在左侧导航选择防护策略>漏洞防护。

4. 开启待防护域名的字段加白功能。

   1. 在页面上方选择需要开启字段加白的域名。
   2. 单击字段加白。
   3. 开启策略启用开关。
      

5. 单击添加规则，配置请求加白规则参数。

   参数	说明
   规则名称	防护规则名称。支持英文、汉字和数字，不支持特殊字符，最多不超过 20 个字符。
   加白区域	填写需要加白的区域，可选请求 Query-Arg、请求 Cookie、请求 Header、请求 Body、请求 PATH。
   加白字段	填写加白区域中需要加白的具体字段。
   规则开关	开启或关闭当前规则。

6. 单击确定，完成规则配置。
   配置完成后，可在字段加白列表查看规则信息，并进行规则关闭/开启、编辑和删除操作。