改进了块动作的响应

在自定义规则中，您可以自定义“阻止”操作的响应。

默认的块响应是一个 CIS 标准的HTML页面。 如果您需要为阻止操作发送自定义响应，请将自定义规则配置为返回带有自定义响应代码（默认为403）和自定义正文（HTML、JSON、XML或纯文本）的固定响应。

要为单个规则定义自定义响应，请转到安全 > WAF > 自定义规则，编辑自定义规则，并完成与阻止相关的选项。

防火墙规则API不会返回自定义块响应配置。 使用 规则集API 管理这一新功能。

被阻止请求的不同错误页面

被防火墙规则阻止的请求会收到 CIS 1020错误代码 响应。CIS 用户可以在自定义页面>1000类错误中自定义此错误页面。

被WAF自定义规则阻止的请求会收到不同的响应：WAF阻止响应。 要自定义默认块响应，您可以：

• 在自定义页面 > WAF阻止中为整个区域定义自定义的WAF阻止响应。 自定义页面将始终具有HTML内容类型。
• 为被特定WAF自定义规则阻止的请求 定义自定义响应。 除了HTML，该自定义响应还支持其他内容类型。

如果您在自定义页面中自定义了防火墙规则阻止请求的 1xxx 错误页面，则必须使用上述方法之一为被阻止的请求创建新的响应页面。

新 跳过操作，同时替换“允许”和“绕过”操作

防火墙规则支持“允许”和“绕过”操作，这两种操作经常一起使用。 这些操作通常用于处理已知的合法请求，例如来自可信IP地址的请求。

当请求触发允许时，所有剩余的防火墙规则都不会被评估，从而允许请求继续传递到下一个安全产品。 旁路操作旨在指定哪些安全产品（如 WAF 管理规则、速率限制规则和用户代理拦截）不应在触发该操作的请求上运行。

使用防火墙规则，如果您想停止为特定请求运行所有安全产品，则需要创建两条规则：

• 旁路操作（选择所有安全产品）时遵循一条规则。
• 允许操作（停止执行其他防火墙规则）有一条规则。

WAF自定义规则不再需要遵循针对这种常见场景的两种规则。 现在使用“跳过”操作，它结合了“允许”和“绕过”操作。 跳过操作完全取代了允许和绕过操作，而WAF自定义规则不支持这些操作。

使用跳过操作，您可以执行以下操作：

• 停止运行所有剩余的WAF自定义规则（相当于“允许”操作）
• 避免运行其他安全产品（相当于绕过操作）
• 两者结合。

您还可以选择是否通过跳过操作记录符合自定义规则的事件。 在创建积极的安全模型以避免记录大量合法流量时，这一点尤其有用。

防火墙规则API不支持跳过操作。 当您创建一个带有“跳过”操作的自定义规则时，它将在防火墙规则API中转换为“允许”和“绕过”。 使用 规则集API，充分利用新的跳过操作功能。

自定义规则按顺序进行评估

在使用 优先级排序 时，防火墙规则操作具有特定的优先级顺序。 相反，WAF自定义规则操作没有这样的顺序。 自定义规则总是按顺序评估，某些操作（如“阻止”）会阻止其他规则的评估。

例如，如果您使用优先级排序，并且以下具有相同优先级的防火墙规则都匹配了传入请求：

• 防火墙规则1——优先级：2/操作：阻止
• 防火墙规则2——优先级：2/操作：允许

允许该请求是因为防火墙规则中的“允许”操作优先于“阻止”操作。

相反，如果您创建两个WAF自定义规则，且两个规则都匹配传入请求：

• 自定义规则1——操作：阻止
• 自定义规则2——操作：跳过（配置为跳过所有剩余的自定义规则）

请求被阻止，因为WAF自定义规则是按顺序评估的，而阻止操作会停止对其他规则的评估。

对于从现有防火墙规则转换而来的 WAF 自定义规则，CIS 会保留您当前的执行顺序。

日志和事件

WAF自定义规则记录的事件可在 “安全”>“事件” 中找到，其来源是 Custom rules。 更多信息，请参阅 使用 CIS 安全事件功能。

当您选择的时间段包括向WAF自定义规则过渡的日期时，您仍然可以在安全事件页面中找到由防火墙规则生成的事件。 同样，在过渡期间，您仍然可以在同一视图中找到同时包含“跳过”和“允许”操作的活动。

新建 API

管理WAF自定义规则的首选API是 规则集API。 所有最新的 CIS 安全产品都使用规则集API，以便在与 IBM API交互时提供统一的用户体验。 如需了解有关迁移至规则集API的更多信息，请参阅 API用户的相关变更。

防火墙规则 API 和过滤器 API 在 2025 年 7 月 30 日之前仍然有效。 防火墙规则和自定义规则将使用同一个规则列表，该列表包含WAF自定义规则。 通过内部转换过程，防火墙规则API和过滤器API返回从这些WAF自定义规则转换而来的防火墙规则/过滤器。