规则引擎
最近更新时间: 2024-10-17 17:10:00
规则引擎
本文档为您介绍如何通过 Web 应用防火墙(WAF)设置防护规则,以防护 Web 攻击。
背景信息
腾讯云金融专区 Web 应用防火墙(WAF)使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎,进行 Web 漏洞和未知威胁防护。
腾讯云金融专区 WAF 规则防护引擎,提供基于安全 Web 威胁和情报积累的专家规则集,自动防护 OWASP TOP10 攻击。目前防护 Web 攻击包括:SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击。
WAF 规则防护引擎,支持规则等级划分,用户可根据实际业务需要进行规则防护等级设置,并支持对规则集规则或单条规则进行开关设置,可以对 WAF 预设的规则进行禁用操作,同时提供基于指定域名 URL 和规则 ID 白名单处置策略,进行误报处理。
操作步骤
查看规则分类
登录 Web 应用防火墙控制台,在左侧导航栏中,选择服务管理 > Web 规则库,进入 Web 规则库页面。
在 Web 规则库页面的“防护规则”标签内,可查看当前 WAF 支持防护的攻击分类描述和规则更新动态信息。
当前 WAF 支持防护的攻击分类如下:
攻击分类 | 攻击描述 |
---|---|
SQL 注入攻击 | 在网站实现上,对于输入参数过滤不严,导致 SQL 数据库的内容被非法获取。 |
XSS 攻击 | 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据,或者使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点。 |
恶意扫描 | 检测网站是否被恶意扫描。 |
核心文件非法访问 | 检测某些配置文件、数据库文件及参数数据,是否被随意下载。 |
开源组件漏洞攻击 | 常见 Web 开源组件漏洞产生的攻击行为。 |
命令注入攻击 | 注入攻击的一种,包含 Shell 命令注入,PHP 代码注入,Java 代码注入等,若被攻击者成功利用,可导致网站执行攻击者注入的代码。 |
WEB 应用漏洞攻击 | Web 应用程序的安全性(在 Web 服务器上运行的 Java、 ActiveX、PHP、ASP 代码的安全)。 |
XXE 攻击 | 由于 XML 处理器在 XML 文件中存在外部实体引用。攻击者可利用外部实体窃取使用 URI 文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。 |
木马后门攻击 | 检测木马传播过程或木马上传后与控制端通信行为。 |
文件上传攻击 | 当上传文件伪装成正常后缀的恶意脚本时,攻击者可借助本地文件包含漏洞执行该文件。 |
其他漏洞攻击 | 由于Web 服务器本身安全和其他软件配置安全或漏洞引起的攻击。 |
不合规协议 | HTTP 协议参数,头部请求参数异常。 |
- 通过防护规则标签右侧的规则更新动态,可查看规则更新信息。
规则管理
登录Web 应用防火墙控制台,在左侧导航栏中,选择配置中心 > 基础安全,进入基础安全页面。
在基础安全页面,单击 WEB 安全,在“规则引擎”页签内,可基于域名实现对单条规则的开通设置,决定在规则引擎中是否启用该规则,所有规则默认开启。
- 用户可以通过“规则等级”、“防护等级”或输入“规则 ID、攻击类型、CVE编号”搜索规则集,查看特定规则并进行操作。
说明:
严格规则等级包含正常和宽松规则,正常规则等级包含宽松规则。
规则白名单或误报处理
登录Web 应用防火墙控制台,在左侧导航栏中,选择配置中心 > 基础安全,进入基础安全页面。
在基础安全页面,单击 WEB 安全,在规则引擎页签内,可以实现基于域名 URL 和规则 ID 的加白名单及误报处理。
在“规则引擎”页签,选择所需规则,单击加白名单,弹出添加自定义规则弹窗。
- 在添加自定义规则弹窗中,配置相关参数,单击确定。
字段说明
添加规则 ID:填写需要加白的规则 ID,一条策略可添加1个规则 ID。
匹配方式:加白 URL 路径的匹配方式,支持完全匹配(默认)、前缀匹配和后缀匹配。
URL 路径:需要加白的 URL 路径,同一个域名下 URL 不可重复添加。
白名单开关:白名单策略生效开关,默认为开启。
- 白名单添加完成后,单击查看白名单,查看该白名单规则,并进行相关操作。
字段说明:
匹配路径:需要加白的 URL 路径,同一个域名下 URL 不可重复添加。
匹配方式:加白 URL 路径的匹配方式,支持完全匹配(默认)、前缀匹配和后缀匹配。
加白规则 ID:所设置的加白规则 ID,可以通过攻击日志或规则管理获取。
开关:白名单策略生效开关。
修改时间:最近一次创建或修改策略的时间。
操作:对策略进行编辑或删除操作。
单击编辑,修改相关参数,单击确认,即可以对规则参数进行修改。
单击删除,经过二次确认后,可删除该策略。