當需允許存取具有指定特徵的請求時,可配置白名單規則,使該請求跳過全部或特定防護模組(如 Web 核心防護規則、IP 黑名單、自訂規則、掃描防護等)的檢測。
關鍵概念
白名單:WAF提供的功能模組之一,用於允許存取具有指定特徵的請求,使請求不經過全部或特定防護模組的檢測。需通過建立白名單模板啟用此模組,系統支援建立多個白名單模板。
白名單模板:模板是白名單規則的集合,用於定義具體的規則內容和作用範圍。其由以下三部分組成:模板類型、白名單規則、生效對象。
模板類型:模板建立時需指定類型,且建立後不可更改。模板類型分為以下兩種:
模板類型
說明
適用情境
預設範本
購買WAF後,系統即建立一個不含任何規則的預設範本。
模板建立時,預設對所有防護對象和對象組生效,後續新增的對象也自動生效。
支援手動將特定對象排除(設定為“未生效”)。
在白名單模組下,僅能建立一個預設範本。
部署通用的、需全域執行的規則。
自訂模板
必須手動指定其生效的防護對象或對象組。
針對特定業務(如登入、支付介面)部署精細化的規則。
白名單規則:定義具體的檢測邏輯和生效模組。一個模板可包含多條規則,每條規則由以下兩部分組成:
匹配條件:定義檢測的請求特徵(如請求路徑、用戶端 IP 位址等)。
不檢測模組:定義命中匹配條件的請求無需經過的防護模組。
生效對象:指定模板的應用目標。通過生效對象設定,將白名單規則應用到指定的防護對象或防護對象組。一個防護對象或對象組可以關聯多個白名單模板。
防護對象:每個接入 WAF 的網域名稱或雲產品執行個體,系統會為其自動建立一個防護對象。
防護對象組:可將多個防護對象加入一個防護對象組,以便集中管理。
操作步驟
執行以下步驟前,請確保已存在防護對象(已將Web業務接入WAF),若尚未將業務接入,請參見接入概述。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地),在左側導覽列,選擇。
步驟一:配置白名單模板類型
購買WAF後,系統將建立一個不含任何規則的預設範本。若無配置多個模板或指定生效對象等特殊業務需求,請直接使用user_default模板,單擊編輯並跳過本步驟,繼續閱讀步驟二。
在白名单頁面,單擊新建模板。在建立模板 - 白名單面板,完成以下配置。
模板名称:為該模板設定一個名稱。
是否设置为默认模板:白名單模組僅能設定一個預設範本,且僅能在建立模板時設定。
是:無需設定生效对象,模板建立時,預設對所有防護對象和對象組生效,後續新增的對象也自動生效。支援手動將特定對象排除(設定為“未生效”)。
否:需要設定生效对象,手動指定其生效的防護對象或對象組。
步驟二:在模板中添加白名單規則
在规则配置地區,單擊新建规则,完成以下配置,單擊確定。
规则名称:為該規則設定一個名稱。
匹配条件:設定該規則要匹配的請求特徵。通過單擊新增条件添加一個條件。每個條件由匹配字段、逻辑符和匹配内容組成。配置樣本如下:
說明若規則包含多個條件,則請求必須滿足所有條件(邏輯與關係),才能命中該規則。關於匹配欄位和邏輯符的詳細說明,請參見匹配條件說明。
匹配字段
逻辑符
匹配内容
說明
URI Path
包含
/login.php當請求的路徑包含
/login.php時,則請求命中該規則。IP
屬於
192.1.XX.XX當用戶端IP為
192.1.XX.XX時,則請求命中該規則。不检测模块:設定命中匹配条件的請求無需經過的防護模組。可選項:
全部不检测:適用於完全信任流量的允許存取情境。
自訂:適用於精細控制白名單規則的情境,使請求流量僅跳過部分防護模組的檢測,而非全部防護模組。
全部不檢測
命中匹配條件的請求將跳過所有防護模組,直接允許存取至來源站點伺服器。
自訂
選擇此項後,從下列模組中勾選需跳過的防護模組。
Web 核心防护规则
全部規則
跳過Web 核心防护规则中全部規則的檢測。
特定規則ID
跳過指定規則ID的檢測,每輸入一個規則ID後,按斷行符號確認。
最多支援輸入50個規則ID,包括重保情境防護中的規則ID。
特定模組
跳過指定類型規則的檢測,根據規則類型按需進行勾選。
特定欄位
指定特定欄位,Web 核心防護規則不會對指定的欄位進行檢測。最多支援配置10個欄位。
欄位類型
配置說明
URI
支援配置全部欄位或指定欄位。
配置指定欄位時,支援設定URL或URL Path。
Header
支援配置全部欄位或指定欄位。
配置指定欄位時,若填寫內容為
q,則實際生效內容為header.q。
Query String Parameter
支援配置全部欄位或指定欄位。
配置指定欄位時,若填寫內容為
q,則實際生效內容為queryarg.q。
Cookie Name
支援配置全部欄位或指定欄位。
配置指定欄位時,若填寫內容為
q,則實際生效內容為cookie.q。
Body
僅支援配置全部欄位。
例如,某電商網站使用如下搜尋介面,當使用者搜尋內容包含特殊符號如
&、"時,Web 核心防護規則可能因檢測到疑似攻擊特徵而攔截請求,導致正常搜尋失敗。GET /search?q=phone此樣本中,設定字段类型為Query String Parameter,范围為指定字段,指定字段填寫
q,即可在不完全禁用Web 核心防護規則的同時,實現對Query欄位的加白。IP黑名单
全部規則
跳過IP黑名单中全部規則的檢測。
特定規則ID
跳過指定規則ID的檢測,每輸入一個規則ID後,按斷行符號確認。最多支援輸入50個規則ID。
自定义规则
全部規則
跳過自定义规则中全部規則的檢測。
特定規則ID
跳過指定規則ID的檢測,每輸入一個規則ID後,按斷行符號確認。最多支援輸入50個規則ID。
扫描防护:跳過扫描防护中全部規則的檢測。
CC防护:跳過CC防护中全部規則的檢測。
区域封禁:跳過区域封禁中全部規則的檢測。
网页防篡改:跳過网页防篡改中全部規則的檢測。
信息泄露防护:跳過信息泄露防护中全部規則的檢測。
重保防护:跳過重保防护中全部規則的檢測。
洪峰限流:跳過洪峰限流中全部規則的檢測。
AI应用防护:跳過AI应用防护中全部規則的檢測。
Bot管理
全部規則
跳過Bot管理中全部規則的檢測。
特定規則ID
跳過指定規則ID的檢測,每輸入一個規則ID後,按斷行符號確認。最多支援輸入50個規則ID。
特定規則
跳過指定規則的檢測,按規則名稱進行配置。支援配置新版Bot管理Web防護與新版Bot管理App防護中的規則,若您使用Bot管理(舊版),或未配置相應的Web/App防護,則此處的配置不會生效。
步驟三:設定白名單模板生效對象
在生效对象地區,選擇要應用於該模板的防護對象和防護對象組。
模板的生效方式取決於在步驟一的配置:
使用系統建立的預設範本,或設定為預設範本:無需設定生效對象,模板建立時,預設對所有防護對象和對象組生效,後續新增的對象也自動生效。支援手動將特定對象排除(設定為“未生效”)。
未設為預設範本:需要手動設定生效的防護對象和防護對象組。
模板建立時與建立完成後,均支援手動調整防護對象或防護對象組生效狀態。
日常營運
管理白名單模板
建立的白名單模板預設開啟,可以在模板列表執行如下操作:
查看模板關聯的防护对象/组的數量。
通過模板开关,開啟或關閉模板。
為該模板新建规则。
编辑、删除或复制模板。
單擊模板名稱左側的
表徵圖,查看該模板包含的規則資訊。
管理白名單規則
建立的規則預設開啟。可以在規則列表執行如下操作:
查看规则ID、规则条件等資訊。
通過状态開關,開啟或關閉規則。
编辑或删除規則。
常見問題
為什麼配置的白名單不生效?
若配置的規則未按預期生效,請按以下順序檢查:
模板開關:確認模板以及規則狀態均為開啟狀態。
生效對象:確認模板的生效對象為已生效。
規則配置:確認白名單規則的配置,重點關注匹配條件的正確性,確保請求能夠匹配。
名為“AutoTemplate”的白名單模板的作用是什嗎?
當滿足以下任一條件時,WAF會自動建立名為AutoTemplate的白名單模板,並向其中添加一條白名單規則: