接入Web Application Firewall(Web Application Firewall,簡稱WAF)後,您可以通過設定網頁防篡改規則,鎖定需要保護的網站頁面(例如敏感頁面)。當被鎖定的頁面在收到請求時,返回已設定的快取頁面面,預防來源站點頁面內容被惡意篡改。本文介紹如何建立網頁防篡改防護模板並添加防護規則。
使用限制
混合雲接入、雲產品接入(MSE、FC)的防護對象暫不支援該功能。
前提條件
已開通訂用帳戶版WAF 3.0或隨用隨付版WAF 3.0服務。
已將Web業務添加為WAF 3.0的防護對象和防護對象組。
步驟一:建立網頁防篡改防護模板
網頁防篡改規則不提供初始預設防護模板。如果您需要啟用網頁防篡改規則,您必須建立一個防護模板,再添加對應規則。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
在Web 核心防护頁面下方网页防篡改地區,單擊新建模板。
在新建模板面板,完成以下模板配置後,單擊确定。
配置項
說明
模板名称
為該模板設定一個名稱。
長度為1~255個字元,支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
规则配置
您可以單擊新建规则,為當前模板建立網頁防篡改規則。您也可以忽略該設定,在建立防護模板後,再為模板建立規則。具體操作,請參見步驟二:在網頁防篡改防護模板中添加網頁防篡改規則。
生效对象
從已添加的防護對象及對象組中,選擇要應用該模板的防护对象和防护对象组。
一個防護對象或對象組只能關聯到當前防護模組下的一個模板。關於添加防護對象和對象組的具體操作,請參見配置防護對象和防護對象組。
建立的防護模板預設開啟,您可以在防護模板列表執行如下操作:
查看模板關聯的防护对象/组的數量。
通過模板开关,開啟或關閉模板。
為該模板新建规则。
编辑、删除或复制防護模板。
單擊防護模板名稱左側的
表徵圖,查看該防護模板包含的規則資訊。
步驟二:在網頁防篡改防護模板中添加網頁防篡改規則
只有添加網頁防篡改規則後,網頁防篡改防護模板才具有防護作用。如果您已在建立防護模板時添加了對應規則,可跳過該步驟。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
在网页防篡改地區,定位到要建立規則的防護模板,單擊操作列的新建规则。
在新建规则對話方塊,完成以下配置後,單擊确定。
配置項
說明
规则名称
為該規則設定一個名稱。
支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
缓存页面的地址
為該規則設定快取頁面面類型和詳細路徑。
快取頁面面類型:http、https。
快取頁面面路徑:
預設為
www.waftest.cn/index.html,支援修改。不支援萬用字元(例如
/*)或參數(例如/abc?xxx=yyy中,xxx=yyy為參數部分)。重要URL攜帶參數的請求不會命中防篡改規則,會被WAF轉寄回來源站點。例如,快取頁面面路徑設定為
/abc,請求URL為/abc?xxx=yyy時,該請求不會命中快取頁面面路徑為/abc的防篡改規則。該路徑下的TXT、HTML和圖片等檔案都將受到防護。受到防護的單個檔案大小不超過1 MB。
重要不支援目錄,只緩衝指定的URL
指定user-agent访问该页面
為該規則指定訪問用戶端的瀏覽器標識。
若不選中指定user-agent访问该页面,則user-agent預設為PC瀏覽器標識。
若選中指定user-agent访问该页面,則需要指定user-agent。
您可以開啟瀏覽器,按F12鍵開啟開發人員模式。在Network頁簽,單擊發起的Request請求,在HTTP Headers部分,找到User-Agent欄位,即可擷取瀏覽器標識。
說明建立防篡改規則後,系統會立即自動拉取資源並緩衝到WAF中,隨後的訪問將使用防篡改快取頁面面。
如果再次開啟模板开关或啟用規則状态,與手動單擊更新缓存效果一樣,都會重新訪問防篡改保護資源並重新整理緩衝。
如果來源站點做了白名單訪問限制,請將以下IP加白處理:
中國內地:121.196.106.101、121.196.100.214、121.196.110.192、121.196.107.0。
非中國內地:8.219.104.2,8.219.41.212。
建立的規則預設開啟。您可以在規則列表執行如下操作:
查看规则ID、规则条件等資訊。
通過状态開關,開啟或關閉規則。
编辑或删除規則。
相關操作
如果您希望為您的伺服器的某個目錄開啟網頁防篡改功能,您可以啟用Security Center的網頁防篡改功能。具體操作,請參見網頁防篡改。
WAF和Security Center的網頁防篡改功能區別如下:
區別 | WAF | Security Center |
實現原理 | 鎖定需要保護的網站頁面(例如敏感頁面),被鎖定的頁面在收到請求時,返回已設定的快取頁面面,預防來源站點頁面內容被惡意篡改。 | 通過備份恢複被篡改的檔案或目錄,保障重要系統的網站資訊不被惡意篡改。 |
生效維度 | URL地址。 | 伺服器目錄。 |
相關文檔
如果您想瞭解WAF 3.0的防護對象、防護模組及防護流程等資訊,請參見防護配置概述。
如果您想使用API建立防護模板,請參見建立防護模板。
如果您想建立一個Web核心防護規則,並配置規則內容,請參見建立Web核心防護規則。