您可以使用Web应用防火墙提供的防护规则自定义搭建防护规则组,为具体的防护功能(例如,规则防护引擎)创建有针对性的防护策略。在设置网站防护功能时,如果默认的防护规则组不能满足您的需求,建议您使用自定义防护规则组。

前提条件

  • 已开通了Web应用防火墙,且实例满足以下要求:
    • 使用包年包月方式开通。
    • 如果实例地域是中国内地,则实例套餐必须是企业版及以上规格。
    • 如果实例地域是非中国内地,则实例套餐必须是旗舰版及以上规格。

    更多信息,请参见开通Web应用防火墙

  • 已完成网站接入。具体操作,请参见网站接入概述

背景信息

目前仅规则防护引擎支持自定义防护规则组,即您可以自定义规则防护引擎功能的防护规则组。关于规则防护引擎的更多信息,请参见设置规则防护引擎

使用流程

防护规则组的使用流程如下:
  1. 新建规则组:为具体防护功能创建自定义防护规则组,形成有针对性的防护策略。
  2. 应用规则组:已添加自定义防护规则组后,您可以为网站域名应用自定义防护规则组。

新建规则组

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。
  3. 在左侧导航栏,选择系统管理 > 防护规则组
  4. 可选:防护规则组页面,单击要操作的防护功能页签。
    说明 由于目前仅Web攻击防护(对应规则防护引擎)支持防护规则组,页面自动跳转到Web攻击防护页签,该步骤无需手动操作。
    规则组列表展示了Web攻击防护(规则防护引擎)的系统规则和自定义防护规则组。
    • 系统默认规则组:规则组名称为宽松规则组中等规则组严格规则组
      您可以单击系统规则的内置规则数,查看系统规则包含的内置规则信息。内置规则数
      说明 系统规则组不支持编辑和删除。
    • 自定义规则组:表示您在Web攻击防护页签新建的规则组。
  5. 单击新建规则组
    说明 您最多可以手动添加10个Web攻击防护(规则防护引擎)防护规则组。
  6. 完成新建规则组配置向导。
    1. 设置规则信息。完成以下规则组参数设置,并单击下一步,应用到网站添加规则组
      参数 描述
      规则组名称 设置规则组的名称。

      规则组名称用于标识当前规则组,建议您使用有明确含义的名称。
      规则组模板 选择要应用的规则组模板。可选项:
      • 严格规则组
      • 中等规则组
      • 宽松规则组

      规则组模板是系统同步更新安全防护规则的基础,不同规则组模板包含的规则不同。选择规则组模板并开启自动更新后,应用了该模板的规则组会自动同步规则组模板内规则的更新。
      规则描述 输入规则组的描述信息。
      是否开启自动更新 开启自动更新后,当规则组模板包含的规则更新时,会自动同步到应用了该模板的规则组。
      说明 部分旧版本自定义规则组不支持规则组自动更新,建议您重新自定义规则组替换此类规则组,实现规则组自动更新。
      选择规则 选择当前规则组要应用的防护规则。

      当前已选规则列表默认展示您所选的规则组模板中的所有规则,您需要从中选择不适用或者可能造成误拦截的规则并单击移除选中规则

      您可以使用筛选和搜索功能查询规则,例如通过防护类型应用类型危险等级筛选规则,或者输入规则名称、ID搜索规则。
      • 危险等级:表示规则防御的Web攻击的危险等级,包括高危中危低危
      • 防护类型:表示规则防御的Web攻击类型,包括SQL注入跨站脚本代码执行本地文件包含远程文件包含webshell其它
      • 应用类型:表示规则防护的Web应用类型,包括通用WordpressDedecmsDiscuzPhpcmsEcshopShopexDrupalJoomlaMetinfoStruts2Spring BootJbossWeblogicWebsphereTomcatElastic SearchThinkphpFastjsonImageMagickPHPwindphpMyAdmin其它
      说明 如果您暂时无需应用新建的规则组,您可以在完成规则组配置后,单击直接保存,完成配置向导,后续需要应用该规则组的时候再编辑该规则组即可。
    2. 可选:应用到网站。从待接入网站列表选择要应用当前防护规则组的网站域名,添加到已接入网站列表。
      注意 每个网站域名仅支持应用一个防护规则组。
      应用到网站
    3. 单击保存
    完成操作后,您可以在规则组列表中查看新建的规则组,并根据需要设置应用防护规则组的网站,具体操作,请参见应用规则组

    创建规则组后,您可以在防护规则组列表中查看该规则组的更新时间(即规则组创建的时间),确定是否需要更新该规则组。

应用规则组

已添加自定义防护规则组后,您可以使用以下任意一种方式应用自定义防护规则组:
  • 防护规则组页面为网站应用自定义防护规则组。以下操作步骤以此为例进行描述。
  • 网站防护页面设置规则防护引擎防护规则组时,单击下拉列表,选择需要该网站应用的自定义防护规则组。防护规则组

    更多信息,请参见设置规则防护引擎

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。
  3. 在左侧导航栏,选择系统管理 > 防护规则组
  4. 可选:防护规则组页面,单击要操作的防护功能页签。
    说明 由于目前仅Web攻击防护规则防护引擎)支持防护规则组,页面自动跳转到Web攻击防护页签,该步骤无需操作。
  5. 在规则组列表,定位到要应用的防护规则组,单击其操作列下的应用到网站
  6. 应用到网站页面,从待接入网站列表选择要应用当前防护规则组的网站域名,添加到已接入网站列表,并单击保存
    注意 每个网站域名仅支持应用一个防护规则组,且必须应用一个防护规则组。
    应用到网站
    完成操作后,您可以在规则组列表的应用网站列,查看规则组应用生效的网站域名。应用网站

相关操作

防护规则组页面,您可以对已创建的规则组执行以下操作:

  • 复制:复制某个规则组的规则配置。

    复制规则组的配置页面如下图所示,其中您可以修改规则组名称规则描述是否开启自动更新,不可以修改规则组模板和规则设置。如果您需要修改规则设置,建议您在复制完成后,编辑通过复制添加的规则组。

    添加规则组-复制
  • 编辑:编辑自定义防护规则组的名称、描述和规则配置。系统规则组不支持编辑。
  • 删除:删除自定义防护规则组。系统规则组不支持删除。

    删除自定义防护规则组前,请确保规则组未被应用到任何网站上。如果需要删除的规则组被应用到网站上,您必须先为网站应用其他规则组,才能删除当前规则组。