Konfigurasikan modul aturan perlindungan inti - Web Application Firewall

Setelah menambahkan layanan web ke Web Application Firewall (WAF) 3.0, Anda dapat mengonfigurasi pengaturan mesin dan mengelola pustaka aturan untuk melindungi layanan web dari serangan aplikasi umum seperti serangan injeksi SQL, serangan skrip lintas situs (XSS), eksekusi kode, unggahan webshell, dan serangan injeksi perintah. Topik ini menjelaskan cara mengonfigurasi modul aturan perlindungan inti.

Penting

Pada 7 November 2024 (UTC+8), modul aturan perlindungan inti ditingkatkan. Untuk informasi lebih lanjut, lihat Tingkatkan modul aturan perlindungan dasar di WAF 3.0. Topik ini menjelaskan versi baru modul aturan perlindungan inti. Jika menggunakan versi lama, Anda dapat mengonfigurasi modul dengan mengikuti petunjuk dalam Konfigurasikan aturan perlindungan dan grup aturan untuk modul aturan perlindungan inti.

Ikhtisar fungsi modul

Setiap template perlindungan dari modul aturan perlindungan inti menggunakan mesin deteksi independen. Berbagai aturan perlindungan dimasukkan ke dalam modul deteksi berbeda berdasarkan pengalaman bisnis. Modul deteksi yang berbeda mengidentifikasi jenis serangan yang berbeda. Gambar berikut menunjukkan hubungan antara template perlindungan, mesin deteksi, modul deteksi, dan aturan.

Skenario perlindungan cloud publik	Skema perlindungan cloud hibrida

Fitur

Dukungan untuk beberapa format decoding

Modul aturan perlindungan inti mendukung beberapa format decoding, termasuk:

Modul dapat mengurai data dalam berbagai format untuk meningkatkan akurasi deteksi. Format data termasuk JSON, XML, dan Multipart.
Modul dapat mengidentifikasi data yang dikodekan untuk menghindari WAF. Ini meningkatkan laju deteksi serangan. Format encoding termasuk Unicode encoding dan HTML entity encoding.

Dukungan untuk mesin daftar putih cerdas

Untuk mengurangi risiko positif palsu, WAF melakukan pembelajaran AI berdasarkan lalu lintas layanan historis dan mengidentifikasi aturan yang mungkin tidak sesuai pada tingkat URL, lalu secara otomatis menambahkannya ke daftar putih.

Dukungan untuk aturan perlindungan kustom dalam skenario cloud hibrida

Aturan perlindungan kustom hanya berlaku untuk objek yang dilindungi yang dihasilkan saat menambahkan layanan ke WAF dalam mode cloud hibrida. Jenis objek yang dilindungi ini disebut sebagai objek yang dilindungi cloud hibrida. Untuk informasi lebih lanjut tentang cara membuat aturan perlindungan kustom dan menambahkan aturan ke template perlindungan, lihat Kelola pustaka aturan.

Prasyarat

Instans WAF 3.0 telah dibeli. Jika ingin menerapkan aturan perlindungan kustom ke objek yang dilindungi cloud hibrida, Anda harus membeli instans WAF langganan yang menjalankan Edisi Enterprise atau Ultimate. Untuk informasi lebih lanjut, lihat Beli instans WAF 3.0 langganan dan Beli instans WAF 3.0 bayar sesuai penggunaan.
Layanan web ditambahkan ke WAF 3.0 sebagai objek yang dilindungi. Untuk informasi lebih lanjut, lihat Konfigurasikan objek yang dilindungi dan kelompok objek yang dilindungi.

Tipe Template

Modul aturan perlindungan inti memiliki dua jenis template perlindungan berikut.

Template Perlindungan	Deskripsi	Objek Efektif
Template perlindungan default	Template perlindungan default awal yang disediakan oleh WAF, yang berisi set aturan perlindungan inti WAF. Tidak diperlukan konfigurasi jika tidak ada persyaratan perlindungan khusus.	Saat dibuat, secara otomatis diterapkan ke objek/kelompok yang dilindungi yang tidak terkait dengan template perlindungan kustom. Objek yang dilindungi yang baru ditambahkan juga akan secara otomatis ditambahkan ke template perlindungan default. Anda dapat menyesuaikan ini secara manual.
Template perlindungan kustom	Template perlindungan yang disesuaikan sesuai kebutuhan bisnis. Perlu dibuat secara manual dan cocok untuk skenario di mana satu template perlindungan default tidak dapat memenuhi kebutuhan bisnis.	Anda perlu mengatur Effective Objects. Template hanya berlaku untuk objek yang dilindungi dan kelompok objek yang terkait dengan template perlindungan.

Buat template perlindungan

Masuk ke Konsol WAF 3.0. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah instans WAF. Anda dapat memilih Chinese Mainland atau Outside Chinese Mainland untuk wilayah. Di panel navigasi sebelah kiri, pilih Protection Configuration > Core Web Protection, di bagian Core Protection Rule, klik Create Template.

Di panel Create Template - Core Protection Rule, lengkapi konfigurasi template dengan mengikuti langkah-langkah berikut, lalu klik OK.

Langkah 1: Konfigurasikan Template Information

Parameter

Bidang Konfigurasi

Deskripsi

Template Information

Template Name

Nama dapat berisi huruf, angka, titik (.), garis bawah (_), dan tanda hubung (-).

Save As Default Template

Template perlindungan default tidak memerlukan pengaturan objek efektif. Secara otomatis diterapkan ke semua objek yang dilindungi dan kelompok objek yang tidak terkait dengan template perlindungan kustom (termasuk yang baru ditambahkan atau dihapus dari template perlindungan kustom). Anda juga dapat secara manual menghapusnya dari template default. Anda hanya dapat menentukan satu template default untuk modul perlindungan, dan hanya dapat diatur saat membuat template.

Langkah 2: Konfigurasi Mesin

Parameter	Bidang Konfigurasi	Deskripsi
Engine Configuration	Automatic Update Of Detection Engine	Secara default, saklar dihidupkan. Dalam hal ini, aturan yang ditambahkan ke atau dihapus dari pustaka aturan default tim keamanan Alibaba Cloud secara otomatis disinkronkan ke mesin deteksi saat ini. Jika saklar dihidupkan, WAF secara otomatis memperbarui aturan. Aturan tersebut diaktifkan dan menggunakan aksi Monitor atau Blokir. Jika saklar dimatikan, WAF tetap menyinkronkan aturan. Aturan tersebut dinonaktifkan dan menggunakan aksi Monitor.
	Configure Engine	System Protection Rules: WAF menyediakan empat tingkat aturan perlindungan sistem berdasarkan modul deteksi bawaan Keamanan Alibaba Cloud. Tingkat aturan adalah Super Strict, Strict, Medium, dan Loose. Secara default, aturan pada tingkat Super Ketat dan Ketat dinonaktifkan, dan aturan pada tingkat Sedang dan Longgar diaktifkan. Catatan Untuk informasi lebih lanjut tentang modul deteksi yang didukung, lihat Deskripsi modul deteksi. Anda dapat mengonfigurasi parameter berikut dari sebuah aturan: Action: Tentukan aksi yang ingin Anda lakukan WAF pada permintaan yang sesuai dengan aturan. Block: memblokir permintaan yang sesuai dengan aturan dan mengembalikan halaman blokir ke klien yang menginisiasi permintaan. Catatan Secara default, WAF mengembalikan halaman blokir yang telah dikonfigurasi sebelumnya. Anda dapat menggunakan fitur respons kustom untuk mengonfigurasi halaman blokir kustom. Monitor: mencatat permintaan yang sesuai dengan aturan dalam log dan tidak memblokir permintaan. Anda dapat menanyakan log permintaan yang sesuai dengan aturan dan menganalisis kinerja perlindungan. Misalnya, Anda dapat menanyakan log untuk memeriksa apakah permintaan normal diblokir. Penting Anda hanya dapat menanyakan log jika fitur Layanan Log Sederhana untuk WAF diaktifkan. Jika Anda memilih Monitor, Anda dapat melakukan uji coba kering pada aturan untuk memeriksa apakah aturan memblokir permintaan normal. Jika aturan lolos uji coba kering, Anda dapat mengatur parameter Aksi ke Block. Catatan Di halaman Security Reports, Anda dapat menanyakan detail aturan yang sesuai dalam mode Monitor atau Blokir. Untuk informasi lebih lanjut, lihat Laporan keamanan. Status: Hidupkan atau matikan saklar. Jika sebuah aturan dinonaktifkan, WAF tidak mencocokkan permintaan terhadap aturan tersebut.

	Adaptive Engine	Intelligent Whitelist Engine: Secara default, saklar dimatikan. Aturan perlindungan modul daftar putih yang dibuat secara otomatis ditampilkan di template perlindungan AutoTemplate di bagian Daftar Putih. Untuk informasi lebih lanjut, lihat Lihat daftar putih. Catatan Hanya instans WAF bayar sesuai penggunaan dan langganan Edisi Enterprise dan Ultimate yang mendukung fitur ini.

Langkah 3: Konfigurasikan Ruang Lingkup Efektif
Pilih Protected Objects dan Protected Object Groups yang ingin Anda terapkan template dari objek yang dilindungi dan kelompok objek yang telah ditambahkan.
Anda hanya dapat menerapkan satu template aturan perlindungan inti ke objek yang dilindungi atau kelompok objek. Jika Anda mengatur template perlindungan default di Langkah 1, semua objek yang dilindungi dan kelompok objek yang tidak terkait dengan template perlindungan kustom dipilih secara default. Jika Anda tidak mengatur template default, tidak ada objek yang dilindungi atau kelompok objek yang dipilih secara default. Anda dapat secara manual memodifikasi objek efektif.

Lihat template perlindungan

Anda dapat mengklik ikon 展开图标 di sebelah kiri nama template perlindungan untuk melihat informasi mesin template. Anda juga dapat mengklik Configure Engine untuk membuka halaman konfigurasi mesin dan melihat informasi aksi dan status aturan rinci.

Edit template perlindungan

Aktifkan dan nonaktifkan template perlindungan

Setelah membuat template perlindungan, Anda dapat menghidupkan atau mematikan saklar di kolom Status untuk mengaktifkan atau menonaktifkan template.

Modifikasi template perlindungan

Anda dapat mengklik Edit di kolom Actions dari template target. Setelah melakukan penyesuaian, klik OK untuk menyimpan perubahan.

Catatan

Untuk perlindungan dalam skenario cloud hibrida, Anda dapat mengonfigurasi parameter berikut untuk aturan perlindungan kustom di panel Configure Engine:

Action: Tentukan aksi yang ingin Anda lakukan WAF pada permintaan yang sesuai dengan aturan. Nilai valid: Monitor dan Block.
Status: Secara default, saklar dimatikan. Anda dapat menghidupkan atau mematikan saklar. Jika Anda menghidupkan saklar, pengaturan tersebut hanya berlaku pada template perlindungan.

Hapus template perlindungan

Anda dapat menghapus template perlindungan yang tidak lagi Anda butuhkan. Sebelum menghapus template perlindungan, pastikan bahwa template tersebut tidak terkait dengan objek yang dilindungi. Untuk menghapus template perlindungan, temukan template dan klik Delete di kolom Actions. Di pesan yang muncul, klik OK.

Penting

Setelah template perlindungan dihapus, sistem secara otomatis menerapkan template default ke objek yang dilindungi yang sebelumnya terkait dengan template perlindungan yang dihapus.
Jika Anda menghapus template default dan template tersebut terkait dengan objek yang dilindungi, objek yang dilindungi tidak lagi dilindungi oleh modul aturan perlindungan inti.

Lihat catatan hit

Di tab Core Protection Rule pada halaman Security Reports, Anda dapat melihat catatan hit untuk aturan perlindungan tertentu. Untuk informasi lebih lanjut, lihat Laporan keamanan. Halaman Core Web Protection tidak mendukung pencarian aturan perlindungan inti tertentu berdasarkan ID aturan. Untuk menanyakan informasi tentang aturan spesifik, lihat Kelola pustaka aturan.

Penting

Jika Anda yakin bahwa sebuah aturan secara salah memblokir lalu lintas layanan normal, Anda dapat mengonfigurasi aturan daftar putih untuk aturan tersebut melalui modul Whitelist. Untuk informasi lebih lanjut tentang cara mengonfigurasi aturan daftar putih, lihat Konfigurasikan aturan perlindungan untuk modul daftar putih untuk mengizinkan permintaan tertentu.

Deskripsi dan referensi terkait

Deskripsi modul deteksi

Modul deteksi dapat mengidentifikasi dan memblokir berbagai jenis serangan web berdasarkan aturan perlindungan dari modul-modul tersebut.

Jenis serangan yang didukung

Jenis Serangan	Deskripsi
SQL Injection	Injeksi SQL adalah serangan di mana kode jahat disisipkan ke dalam pernyataan kueri. Kemudian, pernyataan tersebut dieksekusi untuk melakukan operasi yang diinginkan oleh penyerang pada database.
Cross-site Scripting (XSS)	XSS adalah serangan di mana skrip jahat disematkan ke dalam halaman web. Skrip tersebut dieksekusi saat pengguna umum menjelajahi halaman web.
Code Execution	Eksekusi kode adalah serangan di mana kode jahat disuntikkan untuk menipu server agar mengeksekusi kode tersebut.
CRLF Injection	Carriage Return Line Feed (CRLF) injection adalah serangan di mana carriage return (\r) dan line feed (\n) dimasukkan ke dalam header HTTP untuk memanipulasi respons HTTP atau menerapkan pemisahan respons HTTP.
Local File Inclusion (LFI)	Pengikut file lokal (LFI) adalah serangan di mana URL digunakan untuk menyertakan file secara dinamis. Jika opsi allow_url_include diaktifkan pada server, fungsi include(), require(), include_once(), dan requir_once() dapat digunakan untuk mengaktifkan penyertaan file dinamis. Jika sumber file tidak dibersihkan dengan benar, pembacaan file sembarang atau eksekusi perintah sembarang dapat terjadi.
Remote File Inclusion (RFI)	Pengikut file jarak jauh (RFI) adalah serangan di mana file di server jarak jauh disertakan. Ini dapat menyebabkan eksekusi kode jarak jauh di server lokal.
Webshell	Webshell adalah file skrip jahat. Penyerang dapat mengunggah atau menyuntikkan webshell untuk mengendalikan server secara jarak jauh.
OS Command Injection	Injeksi perintah sistem operasi (OS) adalah serangan di mana perintah OS jahat disuntikkan ke dalam aplikasi untuk menipu server agar mengeksekusi perintah tersebut.
Scanning Behavior	Perilaku pemindaian merujuk pada perilaku dan karakteristik pemindai yang secara otomatis memindai aplikasi web untuk mendeteksi kerentanan, seperti injeksi SQL dan XSS. Pemindai juga menghasilkan dan mengirim banyak permintaan untuk menganalisis respons aplikasi web.
Business Logic Vulnerability	Kerentanan logika bisnis adalah cacat dalam implementasi aplikasi. Validasi input tradisional atau pengkodean output tidak cukup untuk melindungi terhadap jenis kerentanan ini. Penyerang dapat mengeksploitasi kerentanan logika bisnis aplikasi untuk memanipulasi logika bisnis guna melakukan akses tidak sah atau perilaku jahat lainnya.
Arbitrary File Read	Pembacaan file sembarang adalah kerentanan yang dapat dieksploitasi untuk membaca file apa pun dalam sistem. Penyerang dapat menentukan jalur file fuzzy dalam permintaan HTTP untuk mengeksploitasi kerentanan tersebut. Kemudian, penyerang dapat mengakses informasi sensitif, seperti file konfigurasi, kredensial, dan data personel.
Arbitrary File Download	Unduhan file sembarang adalah kerentanan yang mirip dengan pembacaan file sembarang. Unduhan file sembarang memungkinkan penyerang mengunduh file apa pun dalam sistem. Hal ini dapat menyebabkan pengungkapan informasi sensitif. Penyerang bahkan bisa mendapatkan cadangan penuh sistem untuk analisis offline.
XXE Injection	XML External Entity (XXE) injection adalah serangan di mana fitur XML dieksploitasi untuk membuat entitas eksternal dan menipu parser XML untuk mengurai entitas tersebut. Penyerang dapat membaca file sistem dan meluncurkan Server-Side Request Forgery (SSRF) atau Denial of Service (DoS). Dalam sebagian besar kasus, injeksi XXE melibatkan input XML yang merujuk pada entitas eksternal jahat.
Cross-site Request Forgery	Cross-Site Request Forgery (CSRF) adalah serangan di mana pengguna terotentikasi ditipu untuk mengirim permintaan tidak sah ke aplikasi web untuk melakukan tindakan jahat. Penyerang mungkin menipu pengguna untuk mengklik tautan jahat atau mengakses halaman web jahat. Kemudian, penyerang dapat melakukan operasi seperti mengubah pengaturan atau mengirim formulir menggunakan identitas pengguna.
Expression Injection	Expression language (EL) injection adalah serangan di mana ekspresi jahat disuntikkan untuk menipu server agar mengeksekusi ekspresi tersebut.
.NET Deserialization	Deserialisasi adalah proses mengonversi data dalam format data tertentu, seperti JSON, XML, atau biner, kembali menjadi objek. Dalam aplikasi .NET, deserialisasi yang tidak aman dapat menyebabkan eksekusi kode sembarang. Jika penyerang dapat memanipulasi data yang dideserialisasi, mereka mungkin menyuntikkan data jahat untuk mengeksekusi kode sembarang.
Java Deserialization	Penyerang membuat objek serial yang berisi kode jahat untuk menipu server agar mengeksekusi kode jahat selama deserialisasi.
PHP Deserialization	Penyerang membuat objek serial yang berisi kode jahat untuk menipu server agar mengeksekusi kode jahat selama deserialisasi.
SSRF (server-side request forgery)	SSRF adalah serangan di mana permintaan server dipalsukan untuk menipu server agar mengakses sumber daya internal atau eksternal.
Path Traversal	Traversal jalur adalah serangan di mana jalur relatif seperti ../ digunakan untuk mengakses file yang tidak dimaksudkan untuk diakses.
Protocol Non-compliance	Pelanggaran protokol adalah serangan di mana protokol seperti HTTP dan HTTPS dimanipulasi secara jahat untuk menghindari mekanisme keamanan.
Arbitrary File Upload	Unggahan file sembarang adalah kerentanan yang dapat dieksploitasi untuk mengunggah file jahat untuk menipu server agar mengeksekusi file tersebut.

Referensi

Untuk informasi lebih lanjut tentang objek yang dilindungi, modul perlindungan, dan proses perlindungan WAF 3.0, lihat Ikhtisar konfigurasi perlindungan.
Untuk informasi lebih lanjut tentang cara membuat template perlindungan dengan memanggil operasi API, lihat CreateDefenseTemplate.
Untuk informasi lebih lanjut tentang cara membuat aturan perlindungan inti menggunakan OpenAPI, lihat CreateDefenseRule.