文档首页 > > 最佳实践> 通过设置误报屏蔽规则提升Web防护效果

通过设置误报屏蔽规则提升Web防护效果

分享
更新时间: 2020/05/14 GMT+08:00

当您发现网站业务的正常请求被WAF的Web基础防护功能误拦截时,您可以确定触发本次拦截的Web基础防护规则,然后通过为该网站域名设置误报屏蔽规则,使WAF针对该网站业务不再拦截同样的正常请求,提升Web防护效果。

应用场景

当您已经通过WAF的Web基础防护对您的网站开启了SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、恶意爬虫扫描、跨站请求伪造等攻击的拦截操作时,不排除个别的正常请求中可能包含有攻击特征,被WAF拦截,可自定义配置误报屏蔽防止误拦截了网站的正常业务。

场景示例:
  • 场景一:下发的请求body体带create,drop等关键词被拦截,下发的请求文件中包含敏感词,导致被拦截。可添加误报屏蔽规则进行处理。
  • 场景二:在华为云ECS服务器上部署了一个Web应用,将该Web应用对应的公网域名添加到Web应用防火墙后,通过域名访问网站显示异常,但直接通过IP访问网站正常。出现这种情况的主要原因是域名的请求流量命中WAF的防护规则(例如:SQL注入特征),被WAF拦截,可通过添加误报屏蔽规则,放行相关URL请求。

防护策略

  1. 登录华为云控制台。
  2. 单击页面左上方的,在右侧弹框中选择安全 > Web应用防火墙,进入Web应用防火墙的控制界面。
  3. 在左侧导航树中,选择“防护事件”,进入“防护事件”页面,如图1所示。

    图1 选择指定域名

  4. 获取触发拦截的规则编号。

    1. 选择目标“事件类型”,在事件列表所在行的“操作”列,单击“误报处理”,在弹出的对话框,复制“ID”对应的编号,如图2所示。
      图2 规则ID
    2. 如果您只想对该域名下的某一路径进行误报屏蔽,可在“路径”框中设置不包含域名的路径,单击“确认添加”,完成配置。
    3. 如果您需要针对该攻击事件类型,对防护域名对应的多个页面设置误报屏蔽规则,参照5进行配置。

  5. 为网站设置自定义误报屏蔽规则。

    1. 在左侧导航树中,选择“域名配置”,进入域名配置列表。
    2. 在目标域名所在行的“防护策略”,单击“配置防护策略”,进入“防护配置”页面。
    3. “误报屏蔽”配置框中,确定“状态”为开启,单击“自定义误报屏蔽规则”,进入“误报屏蔽”规则配置页面。
    4. “误报屏蔽”规则配置页面左上角,单击“添加规则”,进入“添加误报屏蔽规则”的对话框,配置误报屏蔽规则,如图3所示,参数说明如表1所示。
      图3 添加误报屏蔽规则
      表1 添加误报屏蔽规则参数说明

      参数

      参数说明

      取值样例

      防护域名

      策略下绑定的域名。

      如果您需要防护的是泛域名对应的单域名,需要手动输入完整的域名。

      www.example.com

      路径

      误报路径,完整的URL链接,不包含域名。
      • 前缀匹配:选择“前缀为”,代表以输入的路径为前缀。例如,需要防护的路径为“/admin/test.php”“/adminabc”,则路径可以填写为“/admin”
      • 精准匹配:选择“等于”,需要防护的路径需要与此处填写的路径完全相等。例如,需要防护的路径为“/admin/test.php”,该规则必须填写为“/admin/test.php”
      说明:
      • 该路径不支持正则,仅支持前缀匹配和精准匹配的逻辑。
      • 路径里不能含有连续的多条斜线的配置,如“///admin”,访问时,引擎会将“///”转为“/”

      等于

      /admin

      规则

      您可以选择以下三种方式进行配置:

      • 按ID:按攻击事件的ID进行配置。
      • 按类别:按攻击事件类别进行配置。
      • 所有内置规则:Web基础防护规则里开启的所有防护规则。

      按类别

      ID

      “规则”选择“按ID”时,需要配置此参数。

      4中获取的攻击事件类型的ID,

      041046

      类别

      “规则”选择“按类别”时,需要配置此参数。

      在下拉框中选择事件类别。

      WAF支持的防护事件类别有:XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。

      SQL注入攻击

      规则描述

      可选参数,设置该规则的备注信息。

      不拦截SQL注入攻击

      高级设置

      如果您只想忽略来源于某攻击事件下指定字段的攻击,可在“高级设置”里选择指定字段进行配置,配置完成后,WAF将不再拦截指定字段的攻击事件。

      在左边第一个下拉列表中选择目标字段。支持的字段有:Params、Cookie、Header、Body、Multipart。
      • 当选择“Params”“Cookie”或者“Header”字段时,根据需求配置子字段。
      • 当选择“Cookie”字段时,“防护域名”“路径”可以为空。

      Params

      全部

    5. 单击“确认添加”

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问