一句话描述：限制 哪些进程 对 哪些文件 有 哪些操作 

一、规则匹配方法

既然是“限制哪些进程对哪些文件有哪些操作”，那自然匹配条件就是三个：路径、进程、操作，只有三者都满足才算匹配成功。

匹配流程如下：

1、先检测被操作的文件是否在“防护路径”内

2、如果在防护路径内，再从“高级规则”按优先级逐条检测

3、如果文件路径、进程路径、操作动作都匹配，进行拦截。任意一个不匹配，放行

如果有多条主规则，则重复上述1-3步，直到检查完所有规则。

二、规则执行顺序

1、主规则

主规则按照添加时间倒序执行，匹配成功就立即拦截。

2、高级规则

每条主规则的高级规则，按照优先级从高到低执行，相同优先级按照添加时间倒序执行，匹配成功就立即拦截。

注意事项：

★ 优先级范围1-99，1的优先级最高，99的优先级最低，即数字越小优先级越高

★ 高级规则的“操作限制”优先级高于主规则的“操作限制”。（也就是如果在高级规则匹配成功就立即拦截，高级规则没有匹配成功才会检查主规则的操作限制）

三、规则填写说明

1、基本规则

启用规则：

勾选表示启用

防护目录：

填写需要防护的文件或目录，必须以绝对路径开头，*只能在最右侧

填写示例：

d:\wwwroot\*，表示对d:\wwwroot自身及子路径进行防护

d:\wwwroot，表示d:\wwwroot自身进行防护

d:\wwwroot\index.php，表示d:\wwwroot\index.php自身进行防护

操作限制：

禁止的操作动作（注意，这里的操作限制对所有进程生效，即任何进程都匹配）

禁止读取：禁止读取文件或目录内容（不含属性）

禁止执行：禁止将可执行文件运行到进程

禁止新建：禁止新增文件或目录

禁止修改：禁止修改文件内容（不含属性）

禁止删除：禁止删除文件或目录

禁止改名：禁止重命名文件或目录。注意：如果更改了存储目录的重命名（如剪切、移动），则识别为新建+删除

禁止篡改时间：禁止将文件或目录的“最后修改时间”改为当前时间3秒之前

消息通知：

拦截篡改行为时给管理员发送通知，可能会很多，慎重开启

2、高级规则

如果基本规则无法满足需求，可以进入高级规则添加复杂的规则。

子路径：

需要防护的子路径，只填写*表示所有子路径

支持完整路径或部分路径，部分路径需要在一侧或两侧加*

详细规则：http://www.hws.com/doc/frq/51.html

填写示例：

*\uploads\*，表示包含有\uploads\的路径都匹配，如：d:\web\uploads\logo.jpg

*\admin.php，表示admin.php文件

*.php，表示php类型的文件

d:\wwwroot\admin*，表示所有以d:\wwwroot\admin开头的路径（注意：此路径必须在防护路径内），如：d:\wwwroot\admin\index.php

d:\wwwroot\admin\login.php，表示这个文件自身

受限进程：

受此规则限制的进程路径，只填写*表示所有进程

支持完整路径或部分路径，部分路径需要在一侧或两侧加*

详细规则：http://www.hws.com/doc/frq/51.html

填写示例：

*，表示所有进程

*\bin\*，表示路径包含有\bin\的进程，如：d:\mysql\bin\mysql.exe

*\mysqld.exe，表示mysqld.exe进程

d:\software\*，表示d:\software下的所有进程，如：d:\software\mysql\mysqld.exe

d:\software\mysql\mysqld.exe，表示d:\software\mysql\mysqld.exe这个进程

优先级：

高级规则按“优先级”从高到低顺序执行，范围：1-99，1表示最高优先级，99表示最低优先级