基础Web防护引擎基于百度云安全AI分析能力,快速精准有效的防御常见Web攻击,覆盖OWASP(Open Web Application Security Project,简称OWASP)TOP 10中常见安全威胁,通过预置丰富的信誉库,对漏洞攻击、网页木马等威胁进行检测和拦截。 如SQL注入、非授权访问、目录遍历(路径绕过)、XSS跨站脚本、CSRF跨站请求伪造,Webshell、木马等。
支持的解码
基础防护规则支持7种不同格式的解码,包括:
- JSON、XML、Multipart等数据格式的解析,用以提升检测的准确率。
支持内置检测模块
防护策略:
Web防护配置按照防护严格程度,Web基础防护设置了三种防护等级:“低级策略集”、“中级策略级”、“高级策略集”,默认情况下,选择“中级策略集”。
1.中级策略集(默认):默认选用该策略,默认为“中等”防护模式,满足大多数场景下的Web防护需求。
2.低级策略集(宽松):防护粒度较粗,只拦截攻击特征比较明显的请求。当误报情况较多的场景下,建议选择“宽松”模式。
3.高级策略集(严格):防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求,例如jolokia网络攻击、探测CGI漏洞、探测 Druid SQL注入攻击。
建议您等待业务运行一段时间后,根据防护效果配置全局白名单规则,再开启“高级策略集”模式,使WAF能有效防护更多攻击。
您也可以根据业务需要,配置自定义规则,策略集越严格安全防护效果越好,但业务实现不规范时可能有误拦截;
规则动作
Web防护当请求命中该规则时,支持2种规则动作:
1.拦截:表示拦截命中规则的请求,发现攻击请求立即阻断,并向发起请求的客户端返回拦截响应页面。说明WAF默认使用统一的拦截响应页面,您可以通过自定义响应功能,自定义拦截响应页面。
2.观察:表示发现攻击只记录不拦截。您可以通过WAF 攻击日志,查询命中当前规则的请求,分析规则的防护效果(例如,是否有误拦截等)。观察模式方便您试运行首次配置的规则,待确认规则没有产生误拦截后,再将规则设置为拦截模式。
支持的规则模板
| 模块 | SaaS WAF 高级版 | SaaS WAF 企业版 | 云原生WAF |
|---|---|---|---|
| 默认内置规则组 | 支持 | 支持 | 支持 |
| 自定义规则组 | 支持 | 支持 | 不支持 |
前提条件
- 已开通Web应用防火墙服务
- 已将Web业务进行WAF接入配置
创建Web基础防护规则模板
- 登录Web应用防火墙
- 在左侧导航栏,选择防护配置 > Web基础防护
- 在规则模板列表页,单击规则模板
| 配置项 | 说明 |
|---|---|
| 模板信息 | 模板名称:请输入1~40位字符,支持中文,英文及数字,符号仅限/_- 接入类型:支持 SaaSWAF及云原生WAF 两种形式 网站不在百度云,希望接入WAF 防护,推荐部署SaaS WAF应用防火墙 网站在百度云上,但没有解析到七层负载均衡(BLB),推荐部署SaaS WAF应用防火墙 网站在百度云上,且业务流量解析七层负载均衡(BLB),推荐部署云原生BLB WAF应用防火墙 |
| 规则引擎 | 1.处置动作:选择当请求命中该规则时,要执行的防护动作。可选项: 拦截:表示拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。说明WAF默认使用统一的拦截响应页面,您可以通过自定义响应功能,自定义拦截响应页面。 观察:表示不拦截命中规则的请求,只通过日志记录请求命中了规则。您可以通过WAF日志,查询命中当前规则的请求,分析规则的防护效果(例如,是否有误拦截等)。观察模式方便您试运行首次配置的规则,待确认规则没有产生误拦截后,再将规则设置为拦截模式。 2.规则组类型:配置Web核心防护规则关联的规则组类型并选择相应的规则组。可选项: 默认:选择该项后,关联默认规则组,支持宽松规则组、中等规则组(默认)和严格规则组。 自定义:选择该项后,需在下拉列表中选择相应的规则组。关于新建规则组的具体操作,请参见创建自定义规则组。 |
| 防护站点 | 可以选择不同接入类型下不同实例的防护站点,进行防护配置 |
成功创建规则模板后,您可以在规则列表执行如下操作: 查看模板关联的站点的数量。通过模板开关,开启或关闭模板。编辑或删除规则模板。
4.您也可以在Web基础防护列表区域,单击规则组管理,查看规则组与规则模板的关联关系。
创建自定义规则组
自定义规则组可以从零创建,也可以在默认规则组的基础上创建。
- 登录Web应用防火墙 控制台
- 在左侧导航栏,选择防护配置>Web基础防护
- 在Web基础防护,规则列表区域,单击规则组管理
- 在规则组管理页面,单击添加规则组
| 配置项 | 说明 |
|---|---|
| 规则组名称 | 请输入1~40位字符,支持中文,英文及数字,符号仅限/_- |
| 规则组模板 | 复用内置规则组:关联默认规则组,支持宽松规则组、中等规则组(默认)和严格规则组。 从零开始创建规则组:添加规则,将从规则库中自定义选择对应的规则,通过输入规则名称、规则ID,设置危险等级、防护类型,筛选并选中规则库的防护规则,单击添加;或单击全部添加规则列表的规则默认按照更新时间倒序排列。 |
| 自动更新 | 官方默认规则组中新增或移除的规则(例如0day应急规则或不再适用的规则)将自动同步到当前自定义规则组。 |
- 完成添加后,如果您需要删除已添加的防护规则,可在规则列表,通过输入规则名称、规则ID,设置危险等级、防护类型,筛选并选中防护规则,取消勾选移除。
- 编辑、复制或删除规则组。
- 复制后的规则组默认命名为“原规则组名称-copy”。复制后的规则组无关联防护对象。
- 已关联防护模板的规则组不允许被删除。如果您需要删除该规则组,请先删除与Web核心防护规则的关联关系。
