一句话描述:限制 哪些进程 对 哪些文件 有 哪些操作
一、规则匹配方法
既然是“限制哪些进程对哪些文件有哪些操作”,那自然匹配条件就是三个:路径、进程、操作,只有三者都满足才算匹配成功。
匹配流程如下:
1、先检测被操作的文件是否在“防护路径”内
2、如果在防护路径内,再从“高级规则”按优先级逐条检测
3、如果文件路径、进程路径、操作动作都匹配,进行拦截。任意一个不匹配,放行
如果有多条主规则,则重复上述1-3步,直到检查完所有规则。
二、规则执行顺序
1、主规则
主规则按照添加时间倒序执行,匹配成功就立即拦截。
2、高级规则
每条主规则的高级规则,按照优先级从高到低执行,相同优先级按照添加时间倒序执行,匹配成功就立即拦截。
注意事项:
★ 优先级范围1-99,1的优先级最高,99的优先级最低,即数字越小优先级越高
★ 高级规则的“操作限制”优先级高于主规则的“操作限制”。(也就是如果在高级规则匹配成功就立即拦截,高级规则没有匹配成功才会检查主规则的操作限制)
三、规则填写说明
1、基本规则
启用规则:
勾选表示启用
防护目录:
填写需要防护的文件或目录,必须以绝对路径开头,*只能在最右侧
填写示例:
d:\wwwroot\*,表示对d:\wwwroot自身及子路径进行防护
d:\wwwroot,表示d:\wwwroot自身进行防护
d:\wwwroot\index.php,表示d:\wwwroot\index.php自身进行防护
操作限制:
禁止的操作动作(注意,这里的操作限制对所有进程生效,即任何进程都匹配)
禁止读取:禁止读取文件或目录内容(不含属性)
禁止执行:禁止将可执行文件运行到进程
禁止新建:禁止新增文件或目录
禁止修改:禁止修改文件内容(不含属性)
禁止删除:禁止删除文件或目录
禁止改名:禁止重命名文件或目录。注意:如果更改了存储目录的重命名(如剪切、移动),则识别为新建+删除
禁止篡改时间:禁止将文件或目录的“最后修改时间”改为当前时间3秒之前
消息通知:
拦截篡改行为时给管理员发送通知,可能会很多,慎重开启
2、高级规则
如果基本规则无法满足需求,可以进入高级规则添加复杂的规则。
子路径:
需要防护的子路径,只填写*表示所有子路径
支持完整路径或部分路径,部分路径需要在一侧或两侧加*
详细规则:http://www.hws.com/doc/frq/51.html
填写示例:
*\uploads\*,表示包含有\uploads\的路径都匹配,如:d:\web\uploads\logo.jpg
*\admin.php,表示admin.php文件
*.php,表示php类型的文件
d:\wwwroot\admin*,表示所有以d:\wwwroot\admin开头的路径(注意:此路径必须在防护路径内),如:d:\wwwroot\admin\index.php
d:\wwwroot\admin\login.php,表示这个文件自身
受限进程:
受此规则限制的进程路径,只填写*表示所有进程
支持完整路径或部分路径,部分路径需要在一侧或两侧加*
详细规则:http://www.hws.com/doc/frq/51.html
填写示例:
*,表示所有进程
*\bin\*,表示路径包含有\bin\的进程,如:d:\mysql\bin\mysql.exe
*\mysqld.exe,表示mysqld.exe进程
d:\software\*,表示d:\software下的所有进程,如:d:\software\mysql\mysqld.exe
d:\software\mysql\mysqld.exe,表示d:\software\mysql\mysqld.exe这个进程
优先级:
高级规则按“优先级”从高到低顺序执行,范围:1-99,1表示最高优先级,99表示最低优先级