规则引擎
最近更新时间: 2024-06-12 15:06:00
本文档将为您介绍如何通过 Web 应用防火墙(WAF)进行规则防护设置,以防护 Web 攻击。
1 背景信息
Web 应用防火墙(WAF)使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎,进行 Web 漏洞和未知威胁防护。
WAF 规则防护引擎,提供基于安全 Web 威胁和情报积累的专家规则集,自动防护 OWASP TOP10 攻击。目前防护 Web 攻击包括: SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、Webshell 上传、不合规协议、木马后门等12类通用的 Web 攻击。
WAF 规则防护引擎,支持规则等级划分,用户可根据实际业务需要进行规则防护等级设置,并支持对规则集规则或单条规则进行开关设置,可以对 WAF 预设的规则进行禁用操作,同时提供基于指定域名 URL 和规则 ID 白名单处置策略,进行误报处理。
2 操作步骤
2.1 域名规则防护引擎设置
登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 安全防护】>【防护设置】。
在域名列表中,单击需要防护的域名,进入防护设置页面。
在防护设置页面的“基础设置”标签内,可对 Web 基础防护进行设置。
字段说明:
规则引擎开关:默认开启。开关关闭后,经过WAF的域名请求将不进行规则引擎威胁处理。
防护模式:规则引擎工作模式,默认为拦截。 观察:不阻断攻击请求,进行预计,产生观察日志。 拦截:直接阻断 Web 攻击请求,产生拦截日志。
防护等级:规则引擎防护等级,默认为严格。 宽松:检测常见 Web 应用攻击。用户发现默认等级下存在较多误拦截,或者业务存在较多不可控的用户输入时(含有富文本编辑器的网站),建议您选择该模式。 正常:正常检测常见 Web 应用攻击。 严格:严格检测 SQL 注入、XSS 攻击、命令执行等 Web 应用攻击,默认模式。
规则管理:在防护等级右侧,单击【规则管理】,通过规则管理,用户可查看规则引擎信息并对规则引擎进行设置,包括查看攻击分类、查看规则等级包含的规则内容、规则集更新动态,同时可对单条规则进行开关设置,添加基于域名 URL 和规则 ID 的白名单。
支持的解码类型:当前规则引擎默认支持以下解码类型,暂不支持手动设置。 URL 解码(多重解码)、javascript Unicode 解码、注释处理、空格压缩、UTF-7 解码、HTML 实体解码、Multipart 解析、JSON 解析、XML 解析、Form 解析。
查看规则分类
- 进入规则引擎设置页面。
方式1:登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 安全防护】>【规则引擎】,进入规则引擎页面。
方式2: a.登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 安全防护】>【防护设置】。 b.在域名列表中,单击需要防护的域名,进入防护设置页面。 c.在防护设置页面的“基础设置”标签内,找到 Web 基础防护模块,单击【规则管理】,进入规则引擎页面。
在规则引擎设置页面的“防护规则”标签内,可查看当前 WAF 支持防护的攻击分类描述和规则更新动态信息。
当前 WAF 支持防护的攻击分类如下:
| 攻击分类 | 攻击描述 |
|---|---|
| SQL 注入攻击 | 在网站实现上,对于输入参数过滤不严,导致 SQL 数据库的内容被非法获取。 |
| XSS 攻击 | 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据,或者使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点。 |
| 恶意扫描 | 检测网站是否被恶意扫描。 |
| 核心文件非法访问 | 检测某些配置文件、数据库文件及参数数据,是否被随意下载。 |
| 开源组件漏洞攻击 | 常见 Web 开源组件漏洞产生的攻击行为。 |
| 命令注入攻击 | 注入攻击的一种,包含 shell 命令注入,PHP 代码注入,Java 代码注入等,若被攻击者成功利用,可导致网站执行攻击者注入的代码。 |
| WEB 应用漏洞攻击 | Web 应用程序的安全性(在 Web 服务器上运行的 Java、 ActiveX、PHP、ASP 代码的安全)。 |
| XXE 攻击 | 由于 XML 处理器在 XML 文件中存在外部实体引用。攻击者可利用外部实体窃取使用 URI 文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。 |
| 木马后门攻击 | 检测木马传播过程或木马上传后与控制端通信行为。 |
| 文件上传攻击 | 当上传文件伪装成正常后缀的恶意脚本时,攻击者可借助本地文件包含漏洞执行该文件。 |
| 其他漏洞攻击 | 由于Web 服务器本身安全和其他软件配置安全或漏洞引起的攻击。 |
| 不合规协议 | HTTP 协议参数,头部请求参数异常。 |
通过“防护规则”标签右侧的规则更新动态,可查看规则更新信息,更多安全公告信息可在 安全公告 中查看。
规则管理
登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 应用防火墙】>【规则引擎】,进入规则引擎页面。
在规则引擎页面,单击【规则设置】,在“规则管理”页签内,可基于域名实现对单条规则的开通设置,决定在规则引擎中是否启用该规则,所有规则默认为开启。
用户可以通过“规则等级”、“攻击分类”或输入“规则 ID”进行规则集搜索,查看特定规则并进行操作。
说明:
严格规则等级包含正常和宽松规则,正常规则等级包含宽松规则。
规则白名单或误报处理
登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 应用防火墙】>【规则引擎】,进入规则引擎页面。
在规则引擎页面,单击【规则设置】,在“规则白名单”页签内,可以实现基于域名 URL 和规则 ID 的加白名单及误报处理。
在规则列表上方,单击【添加】,进入“添加白名单”弹窗中,添加规则白名单。
字段说明:
加白规则 ID:填写需要加白的规则 ID,一条策略最多可添加10个规则 ID,多个规则之间用英文逗号隔开。
匹配方式:加白 URL 路径的匹配方式,支持完全匹配(默认)、前缀匹配和后缀匹配。
URI 路径:需要加白的 URI 路径,同一个域名下 URI 不可重复添加。
白名单开关:白名单策略生效开关,默认为关闭。
白名单添加完成后,可在规则列表中,查看该白名单规则,并进行相关操作。
字段说明:
序号:策略自增序号。
加白规则 ID:所设置的加白规则 ID,可以通过攻击日志或规则管理获取。
匹配方式:加白 URL 路径的匹配方式,支持完全匹配(默认)、前缀匹配和后缀匹配。
URI 路径:需要加白的 URI 路径,同一个域名下 URI 不可重复添加。
白名单开关:白名单策略生效开关。
修改时间:最近一次创建或修改策略的时间。
操作:对策略进行编辑或删除操作。 单击【编辑】可以对规则参数进行修改。 单击【删除】删除该策略。