规则引擎

最后更新时间:2021-09-22 17:11:50

    本文档将为您介绍如何通过 Web 应用防火墙(WAF)进行规则防护设置,以防护 Web 攻击。

    背景信息

    腾讯云 Web 应用防火墙(WAF)使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎,进行 Web 漏洞和未知威胁防护。

    腾讯云 WAF 规则防护引擎,提供基于腾讯安全 Web 威胁和情报积累的专家规则集,自动防护 OWASP TOP10 攻击。目前防护 Web 攻击包括: SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、Webshell 上传、不合规协议、木马后门等12类通用的 Web 攻击。

    WAF 规则防护引擎,支持规则等级划分,用户可根据实际业务需要进行规则防护等级设置,并支持对规则集规则或单条规则进行开关设置,可以对 WAF 预设的规则进行禁用操作,同时提供基于指定域名 URL 和规则 ID 白名单处置策略,进行误报处理。

    操作步骤

    域名规则防护引擎设置

    1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 安全防护】>【防护设置】。
    2. 在域名列表中,单击需要防护的域名,进入防护设置页面。
    3. 在防护设置页面的“基础设置”标签内,可对 Web 基础防护进行设置。

    字段说明:

    • 规则引擎开关:默认开启。开关关闭后,经过WAF的域名请求将不进行规则引擎威胁处理。

    • 防护模式:规则引擎工作模式,默认为拦截。

    • 观察:不阻断攻击请求,进行预计,产生观察日志。

    • 拦截:直接阻断 Web 攻击请求,产生拦截日志。

    • 防护等级:规则引擎防护等级,默认为严格。

      • 宽松:检测常见 Web 应用攻击。用户发现默认等级下存在较多误拦截,或者业务存在较多不可控的用户输入时(含有富文本编辑器的网站),建议您选择该模式。
      • 正常:正常检测常见 Web 应用攻击。
      • 严格:严格检测 SQL 注入、XSS 攻击、命令执行等 Web 应用攻击,默认模式。
        说明:

        防护规则等级之间为包含关系,严格等级包含正常和宽松等级的规则,正常等级包含宽松等级规则。

    • 规则管理:在防护等级右侧,单击【规则管理】,通过规则管理,用户可查看规则引擎信息并对规则引擎进行设置,包括查看攻击分类、查看规则等级包含的规则内容、规则集更新动态,同时可对单条规则进行开关设置,添加基于域名 URL 和规则 ID 的白名单。

    • 支持的解码类型:当前规则引擎默认支持以下解码类型,暂不支持手动设置。
      URL 解码(多重解码)、javascript Unicode 解码、注释处理、空格压缩、UTF-7 解码、HTML 实体解码、Multipart 解析、JSON 解析、XML 解析、Form 解析。

    查看规则分类

    1. 进入规则引擎设置页面。
      • 方式1:登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 安全防护】>【规则引擎】,进入规则引擎页面。
      • 方式2:
        1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 安全防护】>【防护设置】。
        2. 在域名列表中,单击需要防护的域名,进入防护设置页面。
        3. 在防护设置页面的“基础设置”标签内,找到 Web 基础防护模块,单击【规则管理】,进入规则引擎页面。
    2. 在规则引擎设置页面的“防护规则”标签内,可查看当前 WAF 支持防护的攻击分类描述和规则更新动态信息。

      当前 WAF 支持防护的攻击分类如下:
      攻击分类 攻击描述
      SQL 注入攻击 在网站实现上,对于输入参数过滤不严,导致 SQL 数据库的内容被非法获取。
      XSS 攻击 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据,或者使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点。
      恶意扫描 检测网站是否被恶意扫描。
      核心文件非法访问 检测某些配置文件、数据库文件及参数数据,是否被随意下载。
      开源组件漏洞攻击 常见 Web 开源组件漏洞产生的攻击行为。
      命令注入攻击 注入攻击的一种,包含 shell 命令注入,PHP 代码注入,Java 代码注入等,若被攻击者成功利用,可导致网站执行攻击者注入的代码。
      WEB 应用漏洞攻击 Web 应用程序的安全性(在 Web 服务器上运行的 Java、 ActiveX、PHP、ASP 代码的安全)。
      XXE 攻击 由于 XML 处理器在 XML 文件中存在外部实体引用。攻击者可利用外部实体窃取使用 URI 文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。
      木马后门攻击 检测木马传播过程或木马上传后与控制端通信行为。
      文件上传攻击 当上传文件伪装成正常后缀的恶意脚本时,攻击者可借助本地文件包含漏洞执行该文件。
      其他漏洞攻击 由于Web 服务器本身安全和其他软件配置安全或漏洞引起的攻击。
      不合规协议 HTTP 协议参数,头部请求参数异常。
    3. 通过“防护规则”标签右侧的规则更新动态,可查看规则更新信息,更多安全公告信息可在 安全公告 中查看。

    规则管理

    1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 应用防火墙】>【规则引擎】,进入规则引擎页面。
    2. 在规则引擎页面,单击【规则设置】,在“规则管理”页签内,可基于域名实现对单条规则的开通设置,决定在规则引擎中是否启用该规则,所有规则默认为开启。
    3. 用户可以通过“规则等级”、“攻击分类”或输入“规则 ID”进行规则集搜索,查看特定规则并进行操作。
      说明:

      严格规则等级包含正常和宽松规则,正常规则等级包含宽松规则。

    规则白名单或误报处理

    1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 应用防火墙】>【规则引擎】,进入规则引擎页面。
    2. 在规则引擎页面,单击【规则设置】,在“规则白名单”页签内,可以实现基于域名 URL 和规则 ID 的加白名单及误报处理。
    3. 在规则列表上方,单击【添加】,进入“添加白名单”弹窗中,添加规则白名单。

    字段说明:

    • 加白规则 ID:填写需要加白的规则 ID,一条策略最多可添加10个规则 ID,多个规则之间用英文逗号隔开。
    • 匹配方式:加白 URL 路径的匹配方式,支持完全匹配(默认)、前缀匹配和后缀匹配。
    • URI 路径:需要加白的 URI 路径,同一个域名下 URI 不可重复添加。
    • 白名单开关:白名单策略生效开关,默认为关闭。
      1. 白名单添加完成后,可在规则列表中,查看该白名单规则,并进行相关操作。

    字段说明:

    • 序号:策略自增序号。
    • 加白规则 ID:所设置的加白规则 ID,可以通过攻击日志或规则管理获取。
    • 匹配方式:加白 URL 路径的匹配方式,支持完全匹配(默认)、前缀匹配和后缀匹配。
    • URI 路径:需要加白的 URI 路径,同一个域名下 URI 不可重复添加。
    • 白名单开关:白名单策略生效开关。
    • 修改时间:最近一次创建或修改策略的时间。
    • 操作:对策略进行编辑或删除操作。
      • 单击【编辑】可以对规则参数进行修改。
      • 单击【删除】删除该策略。