文档首页> Web应用防火墙 WAF> 最佳实践> 防护策略配置> 通过误报处理提升Web基础防护效果
更新时间:2024-02-01 GMT+08:00

通过误报处理提升Web基础防护效果

当您的网站接入Web应用防火墙(Web Application Firewall,简称WAF)并开启Web基础防护后,WAF会根据您设置的Web基础防护规则检测并拦截命中规则的请求。如果业务正常请求命中Web基础防护规则被WAF误拦截,可能导致正常请求访问网站显示异常,此时,您可以通过误报处理使WAF不再拦截该请求,提升Web基础防护效果。

前提条件

“防护事件”页面可以查看误拦截事件。

约束条件

同一个事件不能重复进行误报处理,即如果该事件已进行了误报处理,则不能再对该事件进行误报处理。

使用场景

业务正常请求被WAF拦截。例如,您在华为云ECS服务器上部署了一个Web应用,将该Web应用对应的公网域名接入WAF并开启Web基础防护后,该域名的请求流量命中了Web基础防护规则被WAF误拦截,导致通过域名访问网站显示异常,但直接通过IP访问网站正常。

系统影响

  • 拦截事件处理为误报后,“防护事件”页面中将不再出现该事件,您也不会收到该类事件的告警通知。
  • 拦截事件处理为误报后,该误报事件对应的规则将添加到全局白名单(原误报屏蔽)规则列表中,您可以在“防护策略”界面的“全局白名单(原误报屏蔽)”页面查看、关闭、删除或修改该规则。

操作步骤

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
  4. 在左侧导航树中,选择“防护事件”,进入“防护事件”页面。
  5. 在防护事件列表中,根据防护网站、事件类型、源IP、URL等信息筛选误拦截事件。

    图1 防护事件列表

  6. 在误拦截事件所在行的“操作”列中,单击“详情”,查看事件详细信息,确认为误拦截事件。

    图2 查看拦截事件详细信息

  7. 在误拦截事件所在行的“操作”列中,单击“误报处理”
  8. 在弹出的对话框中,添加误报处理策略。

    图3 添加全局白名单规则

生效条件

设置误报处理后,1分钟左右生效,防护事件详情列表中将不再出现此误报。您可以刷新浏览器缓存,重新访问设置了误报处理的页面,如果访问正常,说明配置成功。

Web基础防护检测项说明

Web基础防护覆盖OWASP(Open Web Application Security Project)常见安全威胁,内置语义分析+正则双引擎,可以对恶意扫描器、IP、网马等威胁进行检测并拦截。请根据业务使用场景开启相应的检测项,详细的检测项说明如表1所示。

表1 检测项说明

检测项

说明

常规检测

防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中,SQL注入攻击主要基于语义进行检测。

说明:

开启“常规检测”后,WAF将根据内置规则对常规检测项进行检测。

Webshell检测

防护通过上传接口植入网页木马。

说明:

开启“Webshell检测”后,WAF将对通过上传接口植入的网页木马进行检测。

深度检测

防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。

说明:

开启“深度检测”后,WAF将对深度反逃逸进行检测防护。

header全检测

默认关闭。关闭状态下WAF会检测常规存在注入点的header字段,包含User-Agent、Content-type、Accept-Language和Cookie。

说明:

开启“header全检测”后,WAF将对请求里header中所有字段进行攻击检测。

Shiro解密检测

默认关闭。开启后,WAF会对Cookie中的rememberMe内容做AES,Base64解密后再检测。Web应用防火墙检测机制覆盖了几百种已知泄露密钥。

说明:

如果您的网站使用的是Shiro 1.2.4及之前的版本,或者升级到了Shiro 1.2.5及以上版本但是未配置AES,强烈建议您开启“Shiro解密检测”,以防攻击者利用已泄露的密钥构造攻击。

Web基础防护等级

Web基础防护支持三种防护等级:“宽松”“中等”“严格”,默认防护等级为“中等”。宽松的防护等级可能降低误报率,但可能导致漏报率增高;严格的防护等级可能增高误报率,但可以降低漏报率。防护等级的详细说明如表2所示。

表2 防护等级说明

防护等级

说明

宽松

防护粒度较粗,只拦截攻击特征比较明显的请求。

当误报情况较多的场景下,建议选择“宽松”模式。

中等

默认为“中等”防护模式,满足大多数场景下的Web防护需求。

严格

防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求。

当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时,建议使用“严格”模式。