『安全规则库』包含 WEB 应用防护特征库、漏洞攻击特征识别库、数据泄密防护识别库、僵尸网络与病毒防护库和实时漏洞分析识别库。选择不同的识别库类型进行不同的设置。

WEB 应用防护特征库

『WEB 应用防护特征库』内置了利用 SQL 注入、XSS 攻击、网站木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击、WEB 整站系统漏洞等的应用层攻击包特征，当这些攻击包穿越设备时，可以根据用户设置拦截该攻击包，以保护服务器。界面如下：

点击用于统一的修改 WEB 应用防护规则。若选择[默认（系统初始状态）]，则将保留系统自带的规则状态；若选择[启用严格规则检测，并拦截]，则对于所有防护规则的动作都将设置为“启用，检测后拦截”。对于危险等级为中的规则来说，系统默认的状态会放行的，启用严格检测后，危险等级所有的规则也将被拦截。

『防护类型』显示当前防护类型的规则库，点击 ，可以根据防护类型查看对应的规则 ID。界面如下：

『防护名称』显示该防护规则对应的名称。

『类型』显示当前防护规则对应的防护类型，如 SQL 注入。

『危险等级』描述此漏洞的危险等级，一般有高、中、低三个等级，等级越高的则危险程度越高。

『动作』描述如果设备检测到该攻击行为时，设备所采取的动作，包括[启用， 检测拦截]、[启用，检测后放行]、[启用，与云分析引擎联动] 、[禁用]四种。这个动作可以自定义，点击『防护名称』即可进入编辑页面，如下图：

[启用，检测后拦截]：表示启用当前规则，当检测到此攻击的行为时，拦截相应的数据包。

[启用，检测后放行]：表示启用当前规则，当检测到有攻击的行为时，只是记录日志，并不会拦截。

[启用，与云分析引擎联动]：表示启用当前规则，当有利用此漏洞进行攻击的行为时，拦截相应的数据包，并利用云技术进行分析检测。

[禁用]：表示禁用当前规则，当规则禁用后，设备不会对该规则进行检测。

漏洞攻击特征识别库

『漏洞攻击特征识别库』内置了利用系统、应用程序漏洞而进行攻击的攻击包特征，当这些攻击包穿越设备时，可以根据用户设置拦截该攻击包，以保护服务器。界面如下：

『修改规则库动作』：用于统一的修改漏洞攻击特征识别规则。若选择[默认

（系统初始状态）]，则将保留系统自带的规则状态；若选择[启用严格规则检测， 并拦截]，则对于所有识别规则的动作都将设置为“启用，检测后拦截”。对于危险等级为中的规则来说，系统默认的状态会放行的，启用严格检测后，危险等级所有的规则也将被拦截。

『恢复规则默认动作』：用于将修改过的规则动作全部恢复到默认状态。

漏洞攻击漏洞规则支持搜索功能，可以通过设置[漏洞类别]、[查询类别]，输入漏洞名称、ID 等关键词进行搜索，如下图所示：

『漏洞 ID』显示当前漏洞的 ID，主要作用是当服务器被某个漏洞攻击规则拦截了，可以到数据中心查看到漏洞 ID，通过此处的漏洞 ID 查询，可以设置不拦截此规则。

『漏洞名称』显示漏洞名称。

『类型』显示当前漏洞的类型，如 backdoor。

『危险等级』描述此漏洞的危险等级，一般有高、中、低三个等级，等级越高的则危险程度越高。

『动作』描述当存在利用该漏洞进行的攻击时，设备所采取的动作，包括[启用、检测后拦截]、[启用，检测后放行]、 [禁用]四种。这个动作可以自定义， 点击『漏洞名称』即可进入编辑页面，如下图：

[启用，检测后拦截]：表示启用当前规则，当有利用此漏洞进行攻击的行为时，拦截相应的数据包。

[启用，检测后放行]：表示启用当前规则，当有利用此漏洞进行攻击的行为时，只是记录日志，并不会拦截。

[禁用]：表示禁用当前规则，当规则禁用后，设备不会对该漏洞进行检测。

注意：漏洞特征库的放行和拦截属性出厂已经配置好，当需要修改某条规则的时候，编辑该条规则即可。

数据泄密防护识别库

『数据泄密防护识别库』内置了一些敏感信息的正则表达式，如身份证、手机号码、银行卡号等等，和允许自定义敏感信息，启用了数据泄密防护功能后， 当这些敏感信息经过设备时，设备会进行拦截，以保护用户敏感信息不被泄露出去。这些内置的规则不允许编辑或删除，支持在线升级。界面如下：

点击用于设置针对哪些 IP、以及哪些 URL 不进行数据泄密防护，界面如下：

点击新增按钮，弹出【排除 IP】对话框，界面如下：

选择“排除 URL”点击新增按钮，弹出【排除 URL】对话框，界面如下：

僵尸网络与病毒防护库

『热门威胁库』包含了木马、挖矿、蠕虫、非法与不良、感染型病毒、后门

软件、恶意链接、广告软件、恶意软件、网络安全、间谍软件、黑客工具、恶意脚本、木马远控、勒索软件、Rootkit、流氓软件、僵尸网络这 18 类规则防护类型，页面如下：

『规则状态』：可以查看所有启用或禁用状态下的规则。

『类型』：木马、挖矿、蠕虫、非法与不良、感染型病毒、后门软件、恶意链接、广告软件、恶意软件、网络安全、间谍软件、黑客工具、恶意脚本、木马远控、勒索软件、Rootkit、流氓软件、僵尸网络这 18 类规则防护类型

『启用』：启用选定的规则库。

『禁用』：禁止选定的规则库。

实时漏洞分析识别库

『实时漏洞分析识别库』内置了一些漏洞规则，用于发现用户网络中存在的一些安全漏洞问题，并以报表的形式把漏洞的危害和解决办法展现给用户。漏洞规则包括了：WEB 服务器漏洞、database 服务器漏洞、FTP 服务器漏洞、mail 服务器漏洞、ssh 服务器漏洞等。

通过在『策略』→『安全策略』→『安全防护策略』→『业务防护策略』→

『实时漏洞分析』中进行设置，对指定的数据进行实时漏洞分析。

界面如下：

页面右上角，可以输入规则名称或规则 ID 查找规则。

在[筛选]中点击，出现如下页面：显示设备内置的漏洞类型，可勾选相应的类型筛选规则：

点击某一条规则的名称，可以查看到规则详情：

『漏洞名称』：显示该漏洞对应的名称。

『漏洞描述』：显示关于该漏洞的详细解释。

『攻击影响』：显示该漏洞可能导致的后果。

『严重等级』：描述此漏洞的危险等级，一般有高、中、低三个等级，等级越高的则危险程度越高。

『解决方案』：显示避免改漏洞可采用的方法。

『动作』：包括启用和禁用两类，当漏洞禁用后，设备不会对该漏洞进行检测。