当攻击者开始编写“攻击剧本”时,你的防御规则不能再停留在“关键词清单”时代。现在,你可以用更强大的“正则语法”编写防御规则,实现像素级精准拦截。
在Web攻防的战场上,攻击模式正变得日益复杂和动态。传统的固定字符串、路径或IP段匹配,已难以应对经过混淆、变形的攻击流量和模拟真实用户行为的精细化CC攻击。
今天,我们正式宣布:百度云防护WAF的「自定义规则」与「自定义CC防护」功能,现已全面支持「正则表达式」匹配模式! 这标志着云防护的防御策略配置,从“粗略筛选”迈入了“精准编程式防御”的新阶段。
01 破局之战:从“匹配关键词”到“定义攻击模式”
在过去,自定义规则通常基于“包含某字符串”、“等于某路径”等简单逻辑。这就像用渔网捕鱼,能抓住大的,但灵活的、伪装过的小鱼很容易漏网。
正则表达式的加入,彻底改变了游戏规则。 它允许你用一套简洁而强大的语法,来“描述”一类攻击请求的共同特征模式,而不仅仅是其中的某个固定片段。
想象以下场景:
- 攻击:攻击者不断尝试
/admin/../etc/passwd、/admin/./config.php.bak等数十种路径穿越变体,企图读取敏感文件。 - 旧方案:你需要添加无数条包含
../、/etc/passwd、.bak等关键词的规则,繁琐且可能误伤正常请求。 - 新方案(正则):只需一条规则,匹配路径中包含
(\.\./|\.\.\\)或.*\.(bak|old|backup|swp)$等模式的请求。一条规则,防御一类攻击。
这对「自定义CC防护」的意义更为重大。 过去,CC防护主要基于QPS(每秒查询率)阈值。现在,你可以将火力精准对准攻击特征:
- 精准打击爬虫:针对性地限制匹配
.*/api/stock/.*这类高频接口请求的并发,而不影响网站主页面正常用户的访问。 - 保护登录接口:对
/login.php的 POST 请求实施更严格的频率控制,同时放过静态资源。 - 识别恶意行为:将连续请求包含
?id=参数且参数值为纯数字(可能为撞库)的会话标识为可疑,并进行挑战。
02 实战指南:如何编写你的第一条正则防御规则
正则表达式看似复杂,但掌握几个核心元字符,就能应对大部分安全场景。以下是为安全防护优化的快速入门:
常用防御正则元字符:
| 元字符 | 说明 | 安全防护示例 |
|---|---|---|
.* | 匹配任意字符(除换行外)零次或多次 | .*\.php$ 匹配所有以 .php 结尾的请求 |
\. | 转义,匹配字面意义的点号(.) | index\.php 精确匹配 index.php |
(a|b) | 匹配 a 或 b | (passwd|shadow|config) 匹配敏感文件名 |
\d | 匹配一个数字 | id=\d+ 匹配 id= 后跟一串数字的参数 |
^ / $ | 匹配字符串开始/结束 | ^/admin/ 匹配以 /admin/ 开头的路径 |
\b | 匹配单词边界 | \bunion\b.*\bselect\b 匹配典型的SQL注入语句 |
百度云防护控制台配置步骤:
- 登录控制台,进入「安全防护」->「自定义规则」或「CC攻击防护」。
- 新建规则,在“匹配字段”中选择目标(如URL路径、请求参数、请求头等)。
- 选择操作符为 “正则匹配” 或 “不匹配正则”。
- 在“匹配内容”框中,填入你编写的正则表达式。
- 设置处置动作(如拦截、人机挑战、仅记录)和生效优先级。
03 场景化规则案例:拿来即用的防御策略
场景一:防御目录遍历与敏感文件扫描
- 规则名称:阻断路径穿越与备份文件访问
- 匹配字段:
URL Path - 正则表达式:
(\.\./|\.\.\\)|.*\.(bak|old|backup|swp|sql|tar\.gz)$ - 处置动作:拦截
场景二:精准防护特定API接口(CC防护)
- 规则名称:严格限速商品秒杀API
- 匹配字段:
URL Path - 正则表达式:
^/api/v1/seckill/.* - 防护动作:单IP对该路径的请求频率超过 60次/分钟 时,执行 人机挑战(JS验证)。
场景三:识别并拦截简易的SQL注入探测
- 规则名称:拦截基础SQL注入关键词组合
- 匹配字段:
Query String或Post Body - 正则表达式:
(\bunion\b.*\bselect\b)|(\band\b.*\d+=\d+\b)|(\b(select|insert|delete|drop)\s+.*\b(from|into|table)\b) - 处置动作:拦截(此规则较严格,建议在业务测试后启用)
04 为什么说这是防御能力的质变?
- 防御粒度从“厘米”到“微米”:能够精准描述攻击模式,极大减少误报和漏报。
- 规则数量急剧精简:一条好的正则规则,可以替代几十甚至上百条旧式规则,提升引擎效率。
- 应对未知变种攻击:只要攻击模式符合你定义的“特征描述”,即使攻击载荷从未见过,也能被识别。
- 实现业务逻辑级防护:可以基于业务接口(如
/api/order/pay)而非整个域名进行限速和保护,更智能。
攻击者的工具在进化,你的防御武器库更需要升级。
百度云防护WAF本次正则匹配功能的全面上线,是将规则配置的主动权与灵活性,前所未有地交到了安全管理员手中。它不仅仅是一个功能的添加,更是一种防御哲学的改变:从被动响应到主动定义威胁。
立即登录您的百度云防护控制台,在「自定义规则」与「CC防护」设置中,体验正则匹配带来的强大与精准。 用更优雅、更强大的方式,为您的业务筑起一道智能、精准的主动防御长城。
(注:使用正则表达式时,建议先在「观察」模式或测试环境进行验证,以确保规则准确,不影响正常业务。)
