文档中心

Web应用防火墙WAF用户指南（下）

最近更新时间：

8 应用安全防护

8.1 应用安全防护概述

本章将讲述 Web 应用安全防护系统系列安全解决方案的各类规则、策略的详细配置信息。

8.1.1 策略与规则的关系

WAF 的安全防护功能是通过策略的方式实现的。WAF 面向被防护的对象制定统一的策略，策略可以直接配置防护规则，包含自定义防护规则和预定义特征库规则。

8.1.2 Web 防护配置流程

Web 防护的配置流程如下图。配置 Web 防护策略时直接引用服务器对象、Web 主机对象、IP 对象、Web 防护规则即可生效。

8.2 Web防护策略

(1) 选择“应用安全防护 > Web 防护策略”进入 Web 防护策略管理界面。

(2) 在 Web 防护策略编辑界面中单击“增加”，弹出策略配置界面。

(3) 编辑 Web 防护策略参数。基本配置详细参数说明见下表。

(4) 配置 Web 防护规则，可以引用系统默认防护规则，也可以自定义规则，包括 URL 和例外URL 也可以新增或引用。

(5) 单击“保存”，保存配置即可生效。

8.3 扫描防护规则

扫描器通过向目标服务器发送数据包，来检测出服务器的系统类型、开放端口、对应服务以及所存在的漏洞。WAF 通过配置扫描防护规则，设置扫描陷阱，可以达到防扫描的效果。扫描防护规则中默认规则有增强规则和专家规则。专家规则的陷阱深度会比增强规则更深。

(1) 选择“应用安全防护 > Web 防护规则 > 扫描防护规则”进入扫描防护规则管理界面。

(2) 单击“增加”，弹出增加扫描防护规则界面。

(3) 编辑扫描防护规则参数。配置扫描防护规则的详细说明如下表。

扫描防护规则默认处理动作为封禁，封禁时间为 7200 秒。扫描防护规则默认引用 IP 对象：search engine ip，WAF 会对扫描器的 IP 地址进行检测，如果属于该 IP 对象则不会对该 IP 地址上的扫描进行防护处理。

(4) 单击“保存”，保存扫描防护规则配置。

 单击“编辑”，可对当前防护规则进行修改。

 单击“删除”，可对当前防护规则进行删除。

8.4 HTTP协议校验规则

(1) 选择“应用安全防护 > Web 防护规则 > HTTP 协议校验规则”进入 HTTP 协议校验规则管理界面。

(2) 单击“增加”，弹出的增加 HTTP 协议校验规则界面。

(3) 编辑 HTTP 协议校验规则。配置 HTTP 协议校验规则的详细说明如下表。

(4) 单击“保存”保存配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.5 HTTP访问控制规则

(1) 选择“应用安全防护 > Web 防护规则 > HTTP 访问控制规则”进入 HTTP 访问控制规则管理界面。

(2) 单击“增加”后弹出的增加 HTTP 访问控制规则界面。

(3) 编辑规则名称和默认动作。WAF 执行防护时如果没有匹配上 HTTP 访问控制规则条目就执行默认动作。

(4) 单击“保存”新增一个 HTTP 访问控制规则至数据库中，同时在增加 HTTP 访问控制规则界面中弹出访问控制规则列表。

(5) 配置 HTTP 访问控制规则条目。

在规则列表中，单击“增加”弹出增加 HTTP 访问控制规则条目界面。

在界面中配置规则条目参数。HTTP 访问控制规则条目详细配置参数说明见下表。

(6) 单击“保存”保存规则条目配置。

(7) 单击“保存”保存 HTTP 访问控制规则配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.6 特征防护规则

选择“应用安全防护 > Web 防护规则 > 特征防护规则”进入预定义特征库管理界面。

预定义特征库包含 SQL 注入、跨站脚本攻击（XSS）、扫描器、信息泄露、防爬虫规则、协议完整性、恶意攻击，也可以自定义特征库规则。

8.6.1 增加用户自定义特征库描述

(1) 选择“应用安全防护 > Web 防护规则 > 特征防护规则 >特征库描述 > 用户自定义”进入用户自定义特征库描述管理界面。

(2) 在管理界面中单击“增加”，弹出特征库描述配置界面。

(3) 编辑特征库描述参数。配置用户自定义特征库描述的详细参数说明见下表。

(4) 编辑特征库条目。

在特征库描述配置页面中单击“增加”，弹出的特征库条目配置界面。

编辑特征库条目参数。配置特征库条目的参数说明见下表。

(5) 单击“保存”保存特征库规则条目配置。

(6) 单击“保存”保存特征库描述配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.6.2 增加特征规则

(1) 选择“应用安全防护 > Web 防护规则 > 特征防护规则 > 特征规则”，进入特征规则管理界面。

(2) 在管理界面中单击“增加”，弹出特征规则配置界面。

配置特征规则的详细参数说明见下表。

(3) 单击“保存”保存配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.7 爬虫防护规则

网络爬虫，是一种按照一定的规则，自动抓取万维网信息的程序或者脚本。网络上有很多搜索引擎，如百度，雅虎等，都使用爬虫提供最新的数据。但如果恶意使用爬虫爬取大量的网站页面，不但占用网站带宽，而且影响服务器性能，WAF 通过设置爬虫防护规则，可以防止信息被搜索引擎获取。

(1) 选择“应用安全防护 > Web 防护规则 > 爬虫防护规则”，进入爬虫防护规则管理界面。

(2) 单击“增加”，弹出增加爬虫防护规则界面。

(3) 编辑爬虫防护规则名称后单击“保存”新增爬虫防护规则，同时在增加爬虫防护规则界面中弹出规则列表。

(4) 在规则列表中单击“增加”增加爬虫防护规则条目。

配置爬虫防护规则条目的详细参数说明如下表。

(5) 单击“保存”保存配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.8 防盗链规则

防盗链是指服务提供商自己不提供服务的内容，通过技术手段绕过其它有利益的最终用户界面（如广告），直接在自己的网站上向最终用户提供其它服务提供商的服务内容，骗取最终用户的浏览和单击率，受益者不提供资源或提供很少的资源，而真正的服务提供商却得不到任何的收益。

WAF 通过实现 URL 级别的访问控制，对客户端请求进行检测，如果发现图片、文件等资源信息的

HTTP 请求来自于其它网站，则阻止防盗链请求，节省因盗用资源链接而消耗的带宽和性能。

(1) 选择“应用安全防护 > Web 防护规则 > 防盗链规则”，进入防盗链规则管理界面。

(2) 单击“增加”，弹出增加防盗链规则界面。

(3) 输入规则名称后单击“保存”，将规则添加至数据库中。

(4) 配置防盗链规则条目。

在增加防盗链规则界面中单击“增加”，弹出增加防盗链规则条目界面。

配置规则条目参数，详细配置说明见下表。

注：WAF 执行防护时“保护的 URL”和“保护的资源类型”是“或”的关系，只要检测到请求匹配上“保护的 URL”或“保护的资源类型”，WAF 立即检测 Referer 是否允许为空，如果Referer 是否为空符合配置，再检测是否为盗链行为，如果是再检测攻击 Referer 是否为信任的Referer，如果是信任 Referer 则不执行处理动作直接放行，否则执行处理动作。

单击“保存”保存规则条目配置。

(5) 单击“保存”保存防盗链规则配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.9 防跨站请求伪造规则

CSRF（Cross-site request forgery 跨站请求伪造，也被称为“one click attack”或者 session riding，通常缩写为 CSRF 或者 XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与 XSS 非常不同，并且攻击方式几乎相左。XSS 利用站点内的信任用户，而 CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站。

(1) 选择“应用安全防护 > Web 防护规则 > 防跨站请求伪造规则”进入防跨站请求伪造规则管理界面。

(2) 单击“增加”，弹出增加防跨站请求伪造规则界面。

(3) 输入规则名称后单击“保存”，将规则添加至数据库中。

(4) 配置防跨站请求伪造规则条目。

在增加防跨站请求伪造规则界面中单击“增加”，弹出增加跨站请求伪造规则条目界面。

配置跨站请求伪造规则条目参数，详细的参数说明见下表。

单击“保存”保存防跨站请求伪造规则条目配置。

(5) 单击“保存”保存防跨站请求伪造规则配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.10 文件上传规则

文件上传规则是指攻击者利用 Web 应用对上传文件过滤不严，导致可以上传应用程序定义类型范围之外的文件到 Web 服务器。比如可以上传一个网页木马，如果存放上传文件的目录刚好有执行脚本的权限，那么攻击者就可以直接得到一个 WebShell。文件上传规则主要是对上传文件的文件类型和大小、MIME 类型、文件的扩展名和真实文件类型进行检测。

(1) 选择“应用安全防护 > Web 防护规则 > 文件上传规则”，进入文件上传规则管理界面。

(2) 单击“增加”，弹出新增文件上传规则界面。

(3) 编辑规则名称和默认动作，默认动作包含通过、阻断、封禁、重定向。

(4) 单击“保存”新增上传规则，同时在界面中弹出文件上传规则列表。

(5) 配置文件上传规则条目。

单击“增加”，弹出新增上传文件类型规则界面。编辑规则条目的基本配置、文件类型检查、MIME 类型检查、真实文件类型检查。

文件上传规则条目基本配置的详细参数说明如下表。

文件上传规则条目文件类型检查配置的详细参数说明如下表。

文件上传规则条目 MIME 类型检查配置的详细参数说明如下表。

文件上传规则条目真实文件类型检查配置的详细参数说明如下表。

单击“保存”保存文件上传规则条目配置。

启用文件上传规则后会对上传规则列表中的规则条目逐条进行检测匹配并按照配置执行相应的处理动作。

(6) 单击“保存”保存文件上传规则配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.11 文件下载规则

文件下载规则主要是对下载文件长度、文件扩展名和 MIME 类型进行检测。

(1) 选择“应用安全防护 > Web 防护规则 > 文件下载规则”，进入文件下载规则管理界面。

(2) 在管理界面中单击“增加”弹出新增下载规则界面。

(3) 编辑规则名称和默认动作，默认动作包含通过、阻断、封禁、重定向。

(4) 单击“保存”新增文件下载规则，同时在新增文件下载规则界面中显示下载规则列表。

(5) 配置文件下载规则条目。

单击“增加”，弹出新增文件下载规则条目界面。

编辑文件下载规则条目的基本配置、文件类型检查、MIME 类型检查。

文件下载规则条目基本配置的详细参数说明如下表。

文件类型检查配置的详细参数说明如下表。

MIME 类型检查配置的详细参数说明如下表。

单击“保存”保存文件下载规则条目配置。

启用下载规则后会对下载规则列表中的规则条目逐条进行检测匹配并按照配置执行相应的处理动作。

(6) 单击“保存”保存文件下载规则配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.12 敏感信息检测规则

(1) 选择“应用安全防护 > Web 防护规则 > 敏感信息检测规则”进入敏感信息检测规则管理界面。

(2) 单击“增加”，弹出增加敏感信息检测规则界面。

(3) 输入规则名称后单击“保存”，将规则保存至数据库中。

(4) 配置敏感信息检测规则条目。

在增加敏感信息检测规则界面中单击“增加”，弹出增加敏感信息检测规则条目界面。

配置敏感信息检测规则条目参数，详细说明见下表。

单击“保存”保存敏感信息检测规则条目的配置。

(5) 单击“保存”保存敏感信息检测规则的配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.13 弱密码检测规则

弱密码检测规则主要用于检测密码的强弱程度，用户可以根据需求选择默认检测，也可以自定义检测字符。

(1) 选择“应用安全防护 > Web 防护规则 > 弱密码检测规则”，进入弱密码检测规则管理页面。

(2) 单击“增加”，弹出增加弱密码检测规则界面。

(3) 编辑规则名称后单击“保存”，弹出规则条目列表。

(4) 编辑弱密码检测规则条目。

在规则条目列表中单击“增加”，弹出增加弱密码检测规则条目界面。

弱密码检测规则条目详细配置说明见下表。

单击“保存”保存配置规则条目配置。

(5) 单击“保存”保存弱密码检测规则配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.14 虚拟补丁规则

虚拟补丁规则根据不同厂家的扫描报告（xml 格式），提取特征，生成防护规则，根据防护规则判断是否需要进行防护及发送日志。

(1) 选择“应用安全防护 > Web 防护规则 > 虚拟补丁规则”，进入虚拟补丁规则管理页面。

(2) 单击“增加”，弹出增加虚拟补丁规则页面。

(3) 配置虚拟补丁规则参数，详细说明见下表。

(4) 单击“保存”保存配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.15 访问顺序规则

页面访问顺序是指限定访问某个页面的顺序，即限定请求的来源地址。

(1) 选择“应用安全防护 > Web 防护规则 > 访问顺序规则”，进入访问顺序规则管理页面。

(2) 单击“增加”，弹出增加访问顺序规则页面。

(3) 输入规则名称，单击“保存”。

(4) 单击“增加”，弹出增加访问顺序条目页面。

(5) 配置访问顺序条目参数，详细参数说明如下。

(6) 单击“保存”保存配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.16 敏感词防护规则

8.16.1 敏感词防护规则

敏感词防护主要针对网站的敏感词信息进行防护过滤。

(1) 选择“应用安全防护 > Web 防护规则 > 敏感词防护规则”，进入敏感词防护规则配置。

(2) 单击“增加”，弹出增加敏感词防护规则页面。

(3) 单击“保存”保存配置。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

8.16.2 敏感词管理

(1) 选择“应用安全防护 > Web 防护规则 > 敏感词防护规则 > 敏感词管理”，进入敏感词管理配置界面进行敏感词查看；自定义导入等，可在检索框查找相关敏感词。

(2) 单击“增加”，弹出增加敏感词页面。

(3) 导入敏感词，可以先下载敏感词库填写模板，按照模板格式填写敏感词，进行导入，文件类型支持.xls 和.xlt 格式。

(4) 单击“导入”，弹出导入敏感词库页面，单击“选择”，选择文件后单击“导入”。

 单击“编辑”可对当前防护规则进行修改。

 单击“删除”可对当前防护规则进行删除。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服