CDN加速

文档中心 全站防护 配置WAF内置规则

配置WAF内置规则

更新时间:2024-01-08 11:26:02

Web应用防火墙(简称WAF)根据WAF规则对请求进行检测,并据此决定是否对请求进行拦截或监控处理。WAF的主要特性包括:

  • 全面防护包括注入、跨站脚本、组件漏洞利用等在内的OWASP Top10安全威胁。
  • 灵活提供自动和手动两种规则集管理方式,您可以根据自身经验和安全管理需求选择其中一种方式。
    • 自动:WAF会自动更新规则集,自动学习网站流量并调优规则,以帮助您极大地减少管理工作,确保网站始终使用最新的规则集来防范威胁。
    • 手动:WAF不会自动调整您的任何配置,您可以完全自主地更新和管理规则集。

进入WAF内置规则页面:

  1. 登录网宿控制台,在已开通产品下,找到正在使用的安全产品并点击进入。
  2. 前往 防护配置>安全策略页面。
  3. 定位到要配置安全策略的域名,点击 【攻击预警】“匿名者”卷土重来,国内多家金融机构成为目标 ,进入安全策略编辑页面。
  4. 选择WAF内置规则页签,如果WAF已关闭,请先开启。

1. 选择防护模式

初次启用WAF防护时,推荐使用观察模式,该模式不会拦截命中WAF规则的请求,只会记录相关日志,您可以在正式开启拦截前先确认监控日志情况。通常情况下,建议您在开启拦截前观察7天,以确保WAF充分适配网站流量并调优规则,您也可以根据实际业务情况适当缩短观察时间,最短不建议小于24小时。

如果您的网站正处于极高的安全风险中,希望立即受到WAF保护,可选择拦截模式。该模式将直接拦截命中WAF规则的请求(实际处理动作以命中规则配置的动作为准),您需要接受一定的误拦截风险,根据网宿安全专家经验,绝大部分情况下默认规则集不会造成明显的误拦。

2. 管理WAF内置规则

2.1. 规则集模式:自动(推荐)

依托于网宿安全专家团队持续跟踪威胁并第一时间更新规则,以及智能的自动规则调优机制,WAF为您提供规则集自动管理方案,在极大地降低管理成本的同时,仍始终保持WAF防护处于最佳状态。

使用自动模式,您可以获得:

  • WAF更新规则时,新规则将自动加入到域名的规则集中,以应对最新威胁。
  • WAF将每天持续学习网站流量并调优规则,自动生成规则例外建议并应用到规则例外配置中,您无需人工关注业务变化引入的误拦风险。
  • 您依然可以按需手动调整规则的动作和例外。

2.2. 规则集模式:手动

如果您是Web安全专家,并希望自主地精细化管理WAF规则集,则可以选择手动模式。

此模式下WAF不会自动调整您的任何配置,您需要承担以下责任:

  • 手动评估和升级WAF规则集版本
  • 定期检查WAF自动生成的规则例外建议,并评估是否应用。您也可以使用自己的运营工具或其他方式完成此项工作。

2.2.1. 评估和升级WAF规则集版本

手动模式下,当WAF规则集版本发生更新,规则列表上方将出现一个提示,点击提示进入升级规则集页面后,您可以看到所有需要更新规则集版本的域名列表及更新的规则信息,并基于这些信息决定是否升级规则集。

  • 域名:待升级规则集的域名。
  • 当前规则集版本:该域名当前的规则集版本号。
  • 待更新规则数:升级到最新版本应该更新的规则条数,包括新增和更新的。
  • 待更新的规则列表:可以查看规则ID、规则描述、系统推荐动作等。

当您决定升级规则集,则选定需要升级的域名,点击批量升级一键更新所有域名,或者定位到您希望操作的特定域名并点击 【攻击预警】“匿名者”卷土重来,国内多家金融机构成为目标 。二次确认后,WAF将更新对于域名的规则集至最新版本。

若一条规则被更新了,不会变更规则原先配置的动作。

2.2.2. 评估是否应用规则例外建议

手动模式下,WAF仍然会为您生成例外建议,但不会自动应用到配置中,仅展示在规则列表中,为您管理WAF规则提供参考。

您可以通过以下方式评估建议:

  • 建议展示在规则列表中每条规则展开的建议页签中,初始状态为“待处理”。您可以对所有规则按照建议数量降序排列,以便快速找出WAF为哪些规则生成了建议。
  • 展开每条规则的建议页签,查看具体建议内容,通常是对于某个路径的例外配置。
  • 结合您的业务评估是否需要采纳建议并添加例外,您也可以前往攻击日志过滤出对应规则和路径的日志,通过日志中的详细信息进一步判断,以做出决定。
  • 如果采纳,请点击添加到例外,该条建议将被添加到例外页签的配置中并归类为“来源:建议”。
  • 如果不采纳,可选择拒绝,该建议的状态将被更新为“已拒绝”,并永久保留在建议页签中,以保证WAF不再推送相同的错误建议。
  • 如果暂时无法确定,可以先不处理。如果在下一个分析周期中,WAF又生成了相同的建议,这条建议的更新时间将被刷新,以表明持续存在此建议对应的请求流量,此时建议您再次确认。

3. 过滤并查看WAF规则

3.1. 过滤WAF规则

  • 使用规则列表左侧的过滤器,可根据以下条件过滤规则:规则类型、OWASP Top10类型、规则ID、规则名称、规则描述、漏洞编号。
  • 若要查看哪些规则设置了例外或生成了建议,点击规则列表标题栏例外或建议列的排序按钮,可对所有规则进行升序或降序排列。
  • 若要按动作过滤规则,使用规则列表标题栏的动作过滤器。

3.2. 查看规则信息

  • 点击规则ID左侧的展开按钮,查看例外、建议及更多信息。
  • 选择例外页签以查看规则已配置的例外配置。该页签下按配置来源将例外配置做了分类展示,来源分类如下:
    • 手动添加:由您在安全策略下为域名手动添加的例外。
    • 共享配置:由您在共享配置下创建并关联至域名的例外。
    • 建议:由WAF自动生成,并被WAF自动模式应用或您手动应用的例外。
  • 选择建议页签以查看待处理和已被拒绝的建议。
  • 选择更多信息页签以查看该规则的推荐动作和规则描述。
本篇文档内容对您是否有帮助?
有帮助
我要反馈
提交成功!非常感谢您的反馈,我们会继续努力做到更好!