Topik ini mencakup versi awal modul perlindungan inti. Jika Anda telah melakukan upgrade ke Konsol WAF yang baru atau menggunakan modul perlindungan inti untuk pertama kalinya, lihat Konfigurasikan modul aturan perlindungan inti. Untuk detail tentang upgrade tersebut, lihat Pengumuman upgrade modul aturan perlindungan dasar di WAF 3.0.
Aturan perlindungan inti Web Application Firewall (WAF) melindungi layanan web Anda dari serangan umum—seperti Injeksi SQL, skrip lintas situs (XSS), eksekusi kode, unggahan webshell, dan injeksi perintah. Topik ini menjelaskan komponen modul tersebut serta memandu Anda dalam membuat kelompok aturan kustom dan templat perlindungan.
Cara kerja
Modul perlindungan inti mencegat permintaan menggunakan tiga modul deteksi, masing-masing dengan peran berbeda:
| Modul deteksi | Status default | Fungsinya |
|---|---|---|
| Rules Engine | Diaktifkan | Mencocokkan permintaan terhadap signature yang telah ditentukan untuk memblokir pola serangan yang dikenal. Menggunakan kelompok aturan (Longgar, Sedang, atau Ketat) untuk mengatur sensitivitas deteksi. |
| Semantic Engine | Diaktifkan | Menganalisis konten dan konteks permintaan untuk mengidentifikasi serangan yang tidak dikenal serta melindungi dari serangan Injeksi SQL. |
| Intelligent O&M | Dinonaktifkan | Mempelajari trafik historis untuk mengidentifikasi aturan yang menyebabkan false positive, lalu secara otomatis menambahkan URL yang terdampak ke daftar putih. |
Dekoding
Sebelum pemeriksaan, modul mendekode data permintaan dalam 23 format, termasuk format terstruktur seperti JSON, XML, dan Multipart, serta encoding tersembunyi seperti Unicode dan HTML entity encoding yang digunakan penyerang untuk menghindari deteksi.
Pilih kelompok aturan
WAF menyediakan tiga kelompok aturan bawaan. Pilih yang sesuai dengan toleransi Anda terhadap false positive dibandingkan kebutuhan cakupan deteksi:
| Kelompok aturan | Kapan menggunakannya |
|---|---|
| Loose Rule Group | Aplikasi Anda sering menghasilkan false positive dengan kelompok Sedang, atau Anda menjalankan alat yang menghasilkan string kueri mirip SQL (misalnya, phpMyAdmin atau Adminer). Sensitivitas deteksi lebih rendah, false positive lebih sedikit. |
| Medium Rule Group (default) | Aplikasi web standar. Cakupan deteksi seimbang dengan tingkat false-positive yang wajar. Mulai dari sini jika Anda ragu. |
| Strict Rule Group | Lingkungan keamanan tinggi di mana cakupan deteksi maksimal lebih penting daripada risiko false positive sesekali. |
Saat beralih ke kelompok yang lebih ketat, jalankan terlebih dahulu dalam mode Monitor untuk mengidentifikasi aturan yang memblokir lalu lintas sah sebelum mengatur aksi menjadi Block.
Anda juga dapat membuat kelompok aturan kustom untuk memilih secara manual aturan mana saja yang berlaku bagi layanan Anda.
Templat perlindungan dan cara penerapannya
Setiap templat perlindungan menggabungkan konfigurasi kelompok aturan dengan pengaturan aksi per modul (Block atau Monitor), lalu ditetapkan ke objek yang dilindungi atau kelompok objek yang dilindungi.
| Templat perlindungan default | Templat perlindungan kustom | |
|---|---|---|
| Dibuat oleh | Sistem (disediakan secara otomatis) | Anda (secara manual) |
| Aksi Rules Engine | Block, menggunakan Medium Rule Group | Dapat dikonfigurasi — kelompok aturan default atau kustom mana pun, aksi apa pun |
| Aksi Semantic Engine | Monitor, dengan Complete SQL Statement Detection diaktifkan | Dapat dikonfigurasi — aksi dan status on/off Complete SQL Statement Detection |
| Intelligent O&M | Dinonaktifkan | Dapat dikonfigurasi — Intelligent Whitelist on atau off |
| Diterapkan ke | Semua objek yang dilindungi dan kelompoknya yang tidak ditetapkan ke templat kustom | Objek yang dilindungi atau kelompok tertentu yang Anda pilih |
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Instans WAF 3.0 (pay-as-you-go)
(Untuk kelompok aturan kustom) Instans WAF pay-as-you-go, atau instans WAF langganan yang menjalankan edisi Enterprise atau Ultimate
Layanan web yang telah ditambahkan ke WAF sebagai objek yang dilindungi — lihat Konfigurasikan objek yang dilindungi dan kelompok objek yang dilindungi
Buat kelompok aturan kustom
Buat kelompok aturan dari awal atau gunakan salah satu kelompok bawaan sebagai dasar.
Masuk ke Konsol WAF 3.0. Di bilah navigasi atas, pilih grup resource dan wilayah instans WAF Anda. Wilayah yang tersedia adalah Tiongkok daratan dan Di Luar Tiongkok Daratan.
Di panel navigasi kiri, pilih Protection Configuration > Core Web Protection.
Di bagian Core Protection Rule, klik Rule Groups.
Di halaman Rule Groups, klik Create Rule Group.
Pada langkah Configure Basic Information of Rule Group, isi parameter dan klik Next.
PentingInformasi dasar kelompok aturan tidak dapat diubah setelah dibuat.
Parameter Deskripsi Rule Group Name Huruf, angka, titik ( .), garis bawah (_), dan tanda hubung (-) diperbolehkan.Select Protection Template Create From Scratch: Tanpa templat dasar. Tambahkan aturan secara manual. Automatic Update dinonaktifkan dan tidak dapat diaktifkan. Use Default Rule Group: Gunakan Loose, Medium, atau Strict Rule Group sebagai dasar. Automatic Update tersedia. Automatic Update Jika diaktifkan, aturan yang ditambahkan atau dihapus dari kelompok aturan default yang dipilih akan secara otomatis disinkronkan ke kelompok aturan kustom ini. Pengaturan ini tidak dapat diubah setelah kelompok aturan dibuat, dan hanya tersedia saat Select Protection Template diatur ke Use Default Rule Group. Pada langkah Configure Protection Rules, klik Add Rule. Di kotak dialog Add Rule, pilih aturan yang ingin ditambahkan. Filter aturan berdasarkan Rule ID, CVE ID, Risk Level, Protection Rule Type, atau Application Type. Klik Add untuk menambahkan aturan yang dipilih, atau Add All untuk menambahkan semua hasil filter. Untuk menghapus aturan setelah ditambahkan, cari berdasarkan Rule ID atau CVE ID (atau filter berdasarkan parameter yang tersedia), pilih aturan tersebut, lalu klik Remove. Untuk memulai ulang, klik Clear All.
Jika Anda memilih Use Default Rule Group pada langkah 5, aturan dari kelompok tersebut sudah termasuk — lewati langkah ini kecuali Anda ingin menambahkan lebih banyak aturan. Aturan ditampilkan dalam urutan menurun berdasarkan waktu pembaruan.
Klik Next. Pada langkah Complete, klik Complete.
Setelah membuat kelompok aturan, kelola dari daftar kelompok aturan:
Klik angka di kolom Number Of Built-in Rules untuk melihat aturan dalam kelompok tersebut.
Klik Edit, Copy, atau Delete di kolom Actions untuk mengelola kelompok aturan.
Informasi dasar tidak dapat diedit setelah pembuatan. Kelompok aturan yang disalin diberi nama <nama asli>-copy secara default dan tidak dikaitkan dengan objek yang dilindungi apa pun. Kelompok aturan yang dikaitkan dengan templat perlindungan tidak dapat dihapus — pisahkan terlebih dahulu dari aturan perlindungan inti.Buat templat perlindungan kustom
Di panel navigasi kiri, pilih Protection Configuration > Core Web Protection.
Gulir ke bagian Core Protection Rule dan klik Create Template.
Jika ini pertama kalinya Anda membuat templat perlindungan inti, Anda juga dapat mengklik Configure Now di kartu Core Protection Rule di bagian atas halaman.
Di panel Create Template - Core Protection Rule, konfigurasikan parameter dan klik OK. Semantic Engine diaktifkan secara default untuk mendeteksi serangan Injeksi SQL. Konfigurasikan pengaturan berikut: Protocol compliance Memeriksa permintaan HTTP terhadap masalah format di lapisan protokol yang dapat dieksploitasi untuk melewati WAF — misalnya, permintaan unggah file yang rusak. Fitur ini tersedia pada instans WAF pay-as-you-go dan instans langganan yang menjalankan edisi Enterprise atau Ultimate. Intelligent O&M Saat Intelligent Whitelist diaktifkan, WAF mempelajari trafik historis untuk mengidentifikasi aturan yang menyebabkan false positive, lalu secara otomatis menambahkan URL yang terdampak ke daftar putih. Aturan daftar putih dibuat di bawah templat AutoTemplate di bagian Whitelist — lihat Lihat aturan daftar putih. Fitur ini tersedia pada instans WAF pay-as-you-go dan instans langganan yang menjalankan edisi Enterprise atau Ultimate. Apply To Di tab Protected Objects dan Protected Object Groups, pilih item yang akan dikaitkan dengan templat ini. Setiap objek yang dilindungi atau kelompoknya hanya dapat dikaitkan dengan satu templat aturan perlindungan inti dalam satu waktu. Jika Anda menetapkan templat ini sebagai default, semua objek yang tidak ditetapkan ke templat kustom akan dipilih secara otomatis. Jika tidak, tidak ada objek yang dipilih secara default.
Templat perlindungan yang baru dibuat diaktifkan secara default.
Informasi templat
Parameter Deskripsi Template Name Huruf, angka, titik ( .), garis bawah (_), dan tanda hubung (-) diperbolehkan.Save as Default Template Menetapkan templat ini sebagai default untuk modul perlindungan. Hanya satu templat default yang diizinkan per modul. Templat default secara otomatis diterapkan ke semua objek yang dilindungi dan kelompoknya yang tidak ditetapkan ke templat kustom, termasuk objek yang baru ditambahkan. Konfigurasi aturan
Parameter Deskripsi Action Block: Memblokir permintaan yang cocok dan menampilkan halaman blokir. Secara default, WAF menampilkan halaman blokir bawaan. Gunakan fitur custom response untuk mengonfigurasi halaman kustom. Monitor: Mencatat permintaan yang cocok tanpa memblokir. Gunakan mode ini untuk memvalidasi aturan sebelum diberlakukan. Kueri log di halaman Security Reports — memerlukan Simple Log Service for WAF agar diaktifkan. Rule Group Type Default: Mengaitkan templat dengan kelompok aturan bawaan—Longgar, Sedang, atau Ketat. Custom: Memilih kelompok aturan kustom dari daftar. Lihat Membuat kelompok aturan kustom. Parameter Deskripsi Action Block atau Monitor — perilaku sama seperti aksi Rules Engine di atas. Complete SQL Statement Detection (diaktifkan secara default) Jika diaktifkan, WAF juga mencegat permintaan yang berisi pernyataan SQL lengkap (misalnya, /query.php?sql=select name from users where 1=1%23). Nonaktifkan ini jika aplikasi Anda menggunakan alat database seperti phpMyAdmin atau Adminer. Incomplete SQL (misalnya,/query.php?name='and 1=1%23) selalu diperiksa terlepas dari pengaturan ini.
Setelah membuat templat, kelola dari daftar templat:
Kolom Protected Object/Group: lihat jumlah objek yang terkait.
Kolom Status: aktifkan atau nonaktifkan templat.
Kolom Actions: klik Create Rule, Edit, Delete, atau Copy.
Ikon panah (di sebelah kiri nama templat): lihat aturan perlindungan dalam templat tersebut.
Jika Intelligent Whitelist aktif (ditunjukkan oleh ikon
): klik Delivery Record di Actions untuk melihat catatan pengiriman daftar putih. Jika nonaktif (ditunjukkan oleh ikon 
): aktifkan/nonaktifkan Intelligent Whitelist langsung dari daftar templat.
Klik Rule Groups di bagian Core Protection Rule untuk melihat keterkaitan antara kelompok aturan dan templat perlindungan.
Validasi aturan sebelum memblokir
Atur aksi ke Monitor saat pertama kali menerapkan kelompok aturan atau templat baru. Dalam mode Monitor, WAF mencatat permintaan yang cocok tanpa memblokirnya, sehingga Anda dapat melihat aturan mana yang aktif pada trafik produksi Anda.
Periksa tab Core Protection Rule di halaman Security Reports untuk meninjau permintaan yang cocok. Setelah memastikan bahwa aturan tidak memblokir lalu lintas sah, ubah aksi menjadi Block.
Halaman Core Web Protection tidak mendukung pencarian aturan perlindungan inti berdasarkan Rule ID. Jika suatu aturan salah memblokir lalu lintas normal, konfigurasikan aturan daftar putih untuk aturan tersebut menggunakan modul Whitelist. Lihat Konfigurasikan aturan perlindungan modul daftar putih untuk mengizinkan permintaan tertentu.
Langkah berikutnya
Lihat catatan hit untuk aturan perlindungan tertentu di tab Core Protection Rule pada halaman Security Reports. Klik View Details untuk Rule ID tertentu di area catatan peristiwa serangan untuk melihat detail serangan lengkap.
Untuk ikhtisar objek perlindungan, modul, dan pipeline perlindungan WAF 3.0, lihat Ikhtisar konfigurasi perlindungan.
Untuk membuat templat perlindungan melalui API, lihat CreateDefenseTemplate.
Untuk membuat aturan perlindungan inti melalui API, lihat CreateDefenseRule.