Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。您还可以根据实际使用需求，开启Webshell检测、深度反逃逸检测和header全检测等Web基础防护。

        您也可以参考Web基础防护功能最佳实践了解更多Web基础防护规则的配置信息。

        说明：

        如果您已开通企业项目，您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限，才能为该企业项目下域名配置防护策略。

         前提条件

        已添加防护网站。

         云模式的接入方式参见网站接入WAF（云模式）章节。 独享模式的接入方式参见网站接入WAF（独享模式）章节。 约束条件 Web基础防护支持“拦截”和“仅记录”模式。 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 当Web基础防护设置为“拦截”模式时，您可以配置攻击惩罚标准。配置攻击惩罚后，如果访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据攻击惩罚设置的拦截时长来封禁访问者。 目前中国-香港和亚太-曼谷区域支持深度检测和header全检测功能。 目前中国-香港区域支持Shiro解密检测功能。 操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域或项目。 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 （旧版）在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护策略”页面。 （新版）在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 图1 域名列表

         在“Web基础防护”配置框中，用户可根据自己的需要参照表1更改Web基础防护的“状态”和“模式”。

         图2 Web基础防护配置框

        表1 防护动作参数说明

        参数

        说明

        状态

        Web应用防护攻击的状态。

         ：开启状态。 ：关闭状态。

        模式

         拦截：发现攻击行为后立即阻断并记录。 仅记录：发现攻击行为后只记录不阻断攻击。 在“Web基础防护”配置框中，单击“高级设置”，进入“Web基础防护”界面。 选择“防护配置”页签，根据您的业务场景，开启合适的防护功能，检测项说明如表3所示。 图3 Web基础防护

        须知：

        当“模式”设置为“拦截”时，您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作，请参见配置攻击惩罚标准。

         防护等级设置。

        在页面上方，选择防护等级，Web基础防护设置了三种防护等级：“宽松”、“中等”、“严格”，默认情况下，选择“中等”。

         表2 防护等级说明

        防护等级

        说明

        宽松

        防护粒度较粗，只拦截攻击特征比较明显的请求。

        当误报情况较多的场景下，建议选择“宽松”模式。

        中等

        默认为“中等”防护模式，满足大多数场景下的Web防护需求。

        严格

        防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求，例如jolokia网络攻击、探测CGI漏洞、探测 Druid SQL注入攻击。

        建议您等待业务运行一段时间后，根据防护效果配置全局白名单（原误报屏蔽）规则，再开启“严格”模式，使WAF能有效防护更多攻击。

         防护检测类型设置。

        须知：

        默认开启“常规检测”防护检测，用户可根据业务需要，参照表3开启其他需要防护的检测类型。

         表3 检测项说明

        检测项

        说明

        常规检测

        防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中，SQL注入攻击主要基于语义进行检测。

        说明：

        开启“常规检测”后，WAF将根据内置规则对常规检测项进行检测。

        Webshell检测

        防护通过上传接口植入网页木马。

        说明：

        开启“Webshell检测”后，WAF将对通过上传接口植入的网页木马进行检测。

        深度检测

        防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。

        说明：

        开启“深度检测”后，WAF将对深度反逃逸进行检测防护。

        header全检测

        默认关闭。关闭状态下WAF会检测常规存在注入点的header字段，包含User-Agent、Content-type、Accept-Language和Cookie。

        说明：

        开启“header全检测”后，WAF将对请求里header中所有字段进行攻击检测。

        Shiro解密检测

        默认关闭。开启后，WAF会对Cookie中的rememberMe内容做AES，Base64解密后再检测。Web应用防火墙检测机制覆盖了几百种已知泄露密钥。

        说明：

        如果您的网站使用的是Shiro 1.2.4及之前的版本，或者升级到了Shiro 1.2.5及以上版本但是未配置AES，强烈建议您开启“Shiro解密检测”，以防攻击者利用已泄露的密钥构造攻击。

         选择“防护规则”页签，查看Web基础防护规则的详细信息，如图4所示，相关参数说明如表4所示。 图4 查看防护规则

        说明：

        单击，您可以根据“CVE编号”、“危险等级”、“应用类型”或“防护类型”，搜索指定规则。

        表4 防护规则说明

        参数

        说明

        规则ID

        防护规则的ID，由系统自动生成。

        规则描述

        防护规则对应的攻击详细描述。

        CVE编号

        防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为--。

        危险等级

        防护规则防护漏洞的危险等级，包括：

         高危 中危 低危

        应用类型

        防护规则对应的应用类型，WAF覆盖的应用类型见表5。

        防护类型

        防护规则的类型，WAF覆盖的防护类型：SQL注入、命令注入、跨站脚本、XXE注入、表达式注入攻击、CSRF、SSRF、本地文件包含、远程文件包含、网站木马、恶意爬虫、会话固定漏洞攻击、反序列化漏洞、远程命令执行、信息泄露、拒绝服务、源码/数据泄露。

        表5 WAF覆盖的应用类型

        4images

        Dragon-Fire IDS

        Log4j2

        ProjectButler

        A1Stats

        Drunken Golem GP

        Loggix

        Pulse Secure

        Achievo

        Drupal

        lpswitch IMail

        Quest CAPTCHA

        Acidcat CMS

        DS3

        Lussumo Vanilla

        QuickTime Streaming Server

        Activist Mobilization Platform

        Dubbo

        MAGMI

        R2 Newsletter

        AdaptBB

        DynPG CMS

        ManageEngine ADSelfService Plus

        Radware AppWall

        Adobe

        DZCP basePath

        MassMirror Uploader

        Rezervi root

        Advanced Comment System

        ea-gBook inc ordner

        Mavili

        Ruby

        agendax

        EasyBoard

        MAXcms

        RunCMS

        Agora

        EasySiteEdit

        ME Download System

        Sahana-Agasti

        AIOCP

        e-cology

        Mevin

        SaurusCMS CE

        AjaxFile

        E-Commerce

        Microsoft Exchange Server

        School Data Navigator

        AJSquare

        Elvin

        Moa Gallery MOA

        Seagull

        Alabanza

        Elxis-CMS

        Mobius

        SGI IRIX

        Alfresco Community Edition

        EmpireCMS

        Moodle

        SilverStripe

        AllClubCMS

        EmuMail

        Movabletype

        SiteEngine

        Allwebmenus Wordpress

        eoCMS

        Multi-lingual E-Commerce

        Sitepark

        Apache

        E-Office

        Multiple PHP

        Snipe Gallery

        Apache APISIX Dashboard

        EVA cms

        mxCamArchive

        SocialEngine

        Apache Commons

        eXtropia

        Nakid CMS

        SolarWinds

        Apache Druid

        EZPX Photoblog

        NaviCOPA Web Server

        SQuery

        Apache Dubbo

        F5 TMUI

        NC

        Squid

        Apache Shiro

        Faces

        NDS iMonitor

        StatCounteX

        Apache Struts

        FAQEngine

        Neocrome Seditio

        Subdreamer-CMS

        Apache Tomcat

        FASTJSON or JACKSON

        NetIQ Access Manager

        Sumsung IOT

        Apache-HTTPD

        FCKeditor

        Netwin

        Sun NetDynamics

        Apple QuickTime

        FileSeek

        Nginx

        SuSE Linux Sdbsearch

        ardeaCore

        fipsCMSLight

        Nodesforum

        SweetRice-2

        AROUNDMe

        fipsForum

        Nucleus Plugin Gallery

        Tatantella

        Aurora Content Management

        Free PHP VX Guestbook

        Nucleus Plugin Twitter

        Thecartpress Wordpress

        AWCM final

        FreeSchool

        Nukebrowser

        Thinkphp

        AWStats

        FreshScripts

        NukeHall

        ThinkPHP5 RCE

        Baby Gekko

        FSphp

        Nullsoft

        Tiki Wiki

        BAROSmini Multiple

        FusionAuth

        Ocean12 FAQ Manager

        Tomcat

        Barracuda Spam

        Gallo

        OCPortal CMS

        Trend Micro

        BizDB

        GetSimple

        Open Education

        Trend Micro Virus Buster

        Blackboard

        GetSimple CMS

        OpenMairie openAnnuaire

        Tribal Tribiq CMS

        BLNews

        GLPI

        OpenPro

        TYPO3 Extension

        Caldera

        GoAdmin

        openUrgence Vaccin

        Uebimiau

        Cedric

        Gossamer Threads DBMan

        ORACLE Application Server

        Uiga Proxy

        Ciamos CMS

        Grayscalecms

        Oramon

        Ultrize TimeSheet

        ClearSite Beta

        Hadoop

        OSCommerce

        VehicleManager

        ClodFusion Tags

        Haudenschilt Family

        PALS

        Visitor Logger

        CMS S Builder

        Havalite

        Pecio CMS

        VMware

        ColdFusion

        HIS Auktion

        PeopleSoft

        VoteBox

        ColdFusion Tags

        HP OpenView Network Node Manager

        Persism Content Management

        WayBoard

        Commvault CommCell CVSearchService

        HPInsightDiagnostics

        PhotoGal

        WebBBS

        Concrete5

        Huawei D100

        PHP Ads

        WebCalendar

        Confluence Server and Data Center

        HUBScript

        PHP Classifieds

        WEB-CGI

        Coremail

        IIS

        PHP CMS

        WebFileExplorer

        Cosmicperl Directory Pro

        iJoomla Magazine

        PHP Paid 4 Mail Script

        WebGlimpse

        CPCommerce

        ILIAS

        PHPAddressBook

        webLogic

        DataLife Engine

        Indexu

        PHP-Calendar

        WebLogic Server wls9-async

        DCScripts

        IRIX

        phpCow

        Webmin

        DDL CMS

        JasonHines PHPWebLog

        PHPGenealogy

        WEB-PHP Invision Board

        DELL TrueMobile

        JBOSS

        PHPGroupWare

        WebRCSdiff

        Digitaldesign CMS

        JBossSeam

        phpMyAdmin

        Websense

        Dir2web

        Joomla

        phpMyAdmin Plugin

        WebSphere

        Direct News

        JRE

        PHPMyGallery

        WikyBlog WBmap

        Discourse

        jsfuck

        PHPNews

        WordPress

        Diskos CMS Manager

        justVisual

        Pie Web Masher

        WORK system

        DiY-CMS

        Katalog Stron Hurricane

        PlaySMS

        Wpeasystats Wordpress

        D-Link

        KingCMS

        Plogger

        XOOPS

        DMXReady Registration Manager

        koesubmit

        Plone

        Xstream

        DoceboLMS

        Kontakt Formular

        PointComma

        YABB SE

        Dokuwiki

        KR-Web

        Postgres

        YP Portal MS-Pro Surumu

        dompdf

        Landray

        PrestaShop

        ZenTao

        DotNetNuke

        Livesig Wordpress

        ProdLer

        Zingiri Web Shop Wordpress

        ZOHO ManageEngine

        -

        -

        -

         配置示例-拦截SQL注入攻击

        假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证WAF拦截SQL注入攻击。

         开启Web基础防护的“常规检测”，并将防护模式设置为“拦截”。 图5 开启“常规检测”

         开启Web基础防护。

         图6 Web基础防护配置框

         清理浏览器缓存，在浏览器中输入模拟SQL注入攻击（例如，http://www.xxx.com?id=' or 1=1）。

        WAF将拦截该访问请求，拦截页面示例如图7所示。

        图7 WAF拦截攻击请求

         返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

         图8 查看防护事件-SQL注入攻击

        父主题： 配置防护规则