Web 入侵防护

设置规则防护引擎

1. 设置状态

网站接入Web应用防火墙后默认开启规则防护引擎。规则防护引擎开启后，所有网站请求默认都会经过规则防护引擎的检测。您可以通过设置Web入侵防护白名单，让满足条件的请求忽略规则防护引擎的检测。

2. 设置模式

• 拦截：直接阻断攻击请求。
• 告警：只触发告警，不阻断攻击请求。

3. 设置防护规则组

• 中等规则组：按照标准防护程度去检测常见的Web应用攻击。默认应用该规则组。
• 严格规则组：按照严格防护程度去检测路径穿越、SQL注入、命令执行等Web应用攻击。
• 宽松规则组：按照宽松防护程度去检测常见Web应用攻击。当您发现中等规则下存在较多误拦截，或者业务存在较多不可控的用户输入（例如，富文本编辑器、技术论坛等），建议您选择该规则组。

4. 解码设置

设置需要规则防护引擎解码分析的内容格式。
为保证防护效果，规则防护引擎默认对请求中所有格式类型的内容进行解码分析。如果您发现规则防护引擎经常对业务中包含指定格式内容的请求造成误拦截，您可以取消解码对应格式，针对性地降低误杀率。

• 不支持取消的格式：URL解码、JavaScript Unicode解码、Hex解码、注释处理、空格压缩。
• 支持取消的格式：Multipart解析、JSON解析、XML解析、PHP序列化解码、HTML实体解码、UTF-7解码、Base64解码、Form解析。

设置大数据深度学习引擎

大数据深度学习引擎主要针对一些弱特征的Web攻击请求，而非CC攻击。如果您对Web攻击防护有较高的要求，建议您开启大数据深度学习引擎功能。

一般来说，规则引擎使用的正则规则的描述性比较强，对于强攻击特征的请求，正则规则的防护效果最佳。而当面对一些弱特征的攻击请求（例如XSS特征请求），即便您开启正则防护引擎的严格模式，依然可能因无法检测到而存在潜在的安全风险。这种情况下，您可以开启大数据深度学习引擎，识别并拦截正则防护引擎的严格规则无法识别的弱特征攻击请求。

1. 设置状态

2. 设置模式

• 拦截：直接阻断攻击请求。
• 告警：只触发告警，不阻断攻击请求。