自定义规则是WAF的重要功能,防火墙强不强大,能不能拦截住想要拦截的东西,都是看这个功能,支持匹配字段和运算符越多,越能拦截更多复杂的请求。
下面是百度云防护WAF的「字段 × 运算符」速查表
百度云防护自定义规则功能支持同时添加5个且条件匹配条件。
WAF匹配条件字段列表(按安全意图描述)
- 字段:IP
- 安全意图描述:基于网络层源地址实施最基础的访问控制,用于直接阻断已知攻击来源或放行可信网络(支持CIDR网段)。
- 可用运算符:等于、不等于(支持IP段)
- 字段:X-Forwarded-For
- 安全意图描述:在代理架构中追溯客户端真实IP,核心是防止攻击者伪造此头部以绕过基于IP的封禁规则。
- 可用运算符:包含、不包含、等于、不等于、长度等于、长度大于、长度小于、不存在、等于多值之一、不等于任何一值
- 字段:URI
- 安全意图描述:检查完整的请求地址(含参数),以防御直接拼接在URL中的路径遍历、SQL注入、命令执行等攻击。
- 可用运算符:包含、不包含、前缀匹配、后缀匹配、等于、不等于、长度等于、长度小于、长度大于、等于多值之一、不等于任一值、包含多值之一、不包含任一值
- 字段:URI Path
- 安全意图描述:针对请求的纯路径部分进行访问控制,用于保护特定的管理后台、API接口目录或敏感文件路径。
- 可用运算符:包含、不包含、前缀匹配、后缀匹配、等于、不等于、长度等于、长度小于、长度大于、等于多值之一、不等于任一值、包含多值之一、不包含任一值
- 字段:Referer
- 安全意图描述:验证请求来源的合法性,主要用于防御CSRF(跨站请求伪造)攻击和防止站点资源被盗链。
- 可用运算符:包含、不包含、前缀匹配、后缀匹配、等于、不等于、长度等于、长度小于、长度大于、存在、不存在、为空、等于多值之一、不等于任一值、包含多值之一、不包含任一值
- 字段:User-Agent
- 安全意图描述:识别并拦截具有已知特征的恶意爬虫、漏洞扫描工具或自动化攻击脚本的请求。
- 可用运算符:包含、不包含、前缀匹配、后缀匹配、等于、不等于、长度等于、长度小于、长度大于、存在、不存在、为空、等于多值之一、不等于任一值、包含多值之一、不包含任一值
- 字段:Host
- 安全意图描述:确保请求指向正确的服务域名,防止通过伪造Host头进行钓鱼、缓存投毒或探测内部服务信息。
- 可用运算符:包含、不包含、前缀匹配、后缀匹配、等于、不等于、长度等于、长度小于、长度大于、等于多值之一、不等于任一值、包含多值之一、不包含任一值
- 字段:Content-Type
- 安全意图描述:严格校验请求体的格式,确保接口契约安全,例如限制上传接口仅接受指定的文件类型(如图片)。
- 可用运算符:包含、不包含、等于、不等于、长度等于、长度小于、长度大于、等于多值之一、不等于任一值、包含多值之一、不包含任一值
- 字段:Content-Length
- 安全意图描述:限制单个请求体的大小,以缓解可能造成资源耗尽的应用层DDoS攻击。
- 可用运算符:等于、大于、小于
- 字段:Header
- 安全意图描述:对任意指定的请求头进行检查,常用于验证自定义的API密钥、身份认证令牌或业务签名是否存在且合法。
- 可用运算符:包含、不包含、等于、不等于、长度等于、长度小于、长度大于、存在、不存在、等于多值之一、不等于任一值、包含多值之一、不包含任一值
- 字段:Query String
- 安全意图描述:对URL中
?之后的整个参数字符串进行检测,以发现通过GET请求传递的各类注入攻击载荷。 - 可用运算符:包含、不包含、前缀匹配、后缀匹配、等于、不等于、长度等于、长度小于、长度大于、存在、不存在、等于多值之一、不等于任一值、包含多值之一、不包含任一值
- 安全意图描述:对URL中
- 字段:Query String Parameter
- 安全意图描述:针对特定URL参数的值进行精细化检查,实现对高风险参数(如
id,search)的专项输入验证与威胁过滤。 - 可用运算符:包含、不包含、前缀匹配、后缀匹配、等于、不等于、长度等于、长度小于、长度大于、存在、不存在、为空、等于多值之一、不等于任一值、包含多值之一、不包含任一值
- 安全意图描述:针对特定URL参数的值进行精细化检查,实现对高风险参数(如
- 字段:Cookie
- 安全意图描述:检查完整的Cookie内容,防止会话标识被篡改、用于权限提升或进行会话固定等攻击。
- 可用运算符:包含、不包含、前缀匹配、后缀匹配、等于、不等于、长度等于、长度小于、长度大于、存在、不存在、等于多值之一、不等于任一值、包含多值之一、不包含任一值
- 字段:Cookie Name
- 安全意图描述:检查请求中是否存在特定的Cookie键名,用于验证关键会话标识或发现攻击者设置的可疑Cookie。
- 可用运算符:包含、不包含、前缀匹配、后缀匹配、等于、不等于、长度等于、长度小于、长度大于、存在、不存在、等于多值之一、不等于任一值、包含多值之一、不包含任一值
- 字段:Http-Method
- 安全意图描述:根据请求方法(GET/POST等)实施访问策略,遵循最小权限原则,例如禁止对静态资源执行写操作(PUT/DELETE)。
- 可用运算符:等于、不等于、等于多值之一、不等于任一值
- 字段:Body
- 安全意图描述:深度检测请求体(如POST数据)中隐藏的恶意内容,防御SQL注入、命令注入、XXE及木马上传等通过请求体发起的攻击。
- 可用运算符:等于、不等于、包含、不包含
- 字段:JA3
- 安全意图描述:利用TLS握手指纹精准识别和拦截已知的恶意软件、僵尸网络或自动化攻击工具发起的加密连接。
- 可用运算符:等于、不等于、等于多值之一、不等于任一值
- 字段:JA4
- 安全意图描述:使用新一代网络指纹技术,更精确地识别客户端类型,以发现并阻断异常的或具有威胁的TLS/HTTP连接。
- 可用运算符:等于、不等于、等于多值之一、不等于任一值
- 字段:区域
- 安全意图描述:根据IP的地理位置信息实施访问控制,用于满足业务地域限制要求或阻断来自特定高风险地区的流量。
- 可用运算符:等于多值之一、不等于任一值
强烈建议保存这个速查表,当你不知道如何拦截某样攻击的时候,或者遭遇大量CC攻击的时候,可以把截图把这个表和网站请求日志同时发给AI,让AI给你根据速查表的匹配条件做合适的拦截规则,不需要自己动脑,非常的方便。
