更新时间:2022-06-17
Web应用防护特征库内置了利用SQL注入、XSS攻击、网站木马、网站扫描、WebShell、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击、Web整站系统漏洞等的应用层攻击包特征,当这些攻击包穿越设备时,可以根据用户设置拦截该攻击包,以保护服务器。界面如下。
点击<修改规则库动作>用于统一的修改Web应用防护规则。若选择默认(系统初始状态),则将保留系统自带的规则状态;若选择启用严格规则检测,并拦截,则对于所有防护规则的动作都将设置为启用,检测后拦截。对于危险等级为中的规则来说,系统默认的状态会放行的,启用严格检测后,危险等级所有的规则也将被拦截。如下图所示。
防护类型显示当前防护类型的规则库,点击下拉框,可以根据防护类型查看对应的规则ID,防护名称显示该防护规则对应的名称,如下图所示。
防护名称:显示该防护规则的名称。
类型:显示当前防护规则对应的防护类型,如SQL注入。
危险等级:描述此漏洞的危险等级,一般有高、中、低三个等级,等级越高的则危险程度越高。
动作:描述如果设备检测到该攻击行为时,设备所采取的动作,包括启用,检测拦截、启用,检测后放行、启用,与云分析引擎联动]、禁用四种。这个动作可以自定义,点击<防护名称>即可进入编辑页面,如下图所示。
启用,检测后拦截:表示启用当前规则,当检测到此攻击的行为时,拦截相应的数据包。
启用,检测后放行:表示启用当前规则,当检测到有攻击的行为时,只是记录日志,并不会拦截。
禁用:表示禁用当前规则,当规则禁用后,设备不会对该规则进行检测。