通过误报处理提升Web基础防护效果
当您的网站接入Web应用防火墙(Web Application Firewall,简称WAF)并开启Web基础防护后,WAF会根据您设置的Web基础防护规则检测并拦截命中规则的请求。如果业务正常请求命中Web基础防护规则被WAF误拦截,可能导致正常请求访问网站显示异常,此时,您可以通过误报处理使WAF不再拦截该请求,提升Web基础防护效果。
前提条件
“防护事件”页面可以查看误拦截事件。
约束条件
同一个事件不能重复进行误报处理,即如果该事件已进行了误报处理,则不能再对该事件进行误报处理。
使用场景
业务正常请求被WAF拦截。例如,您在ECS服务器上部署了一个Web应用,将该Web应用对应的公网域名接入WAF并开启Web基础防护后,该域名的请求流量命中了Web基础防护规则被WAF误拦截,导致通过域名访问网站显示异常,但直接通过IP访问网站正常。
系统影响
- 拦截事件处理为误报后,“防护事件”页面中将不再出现该事件,您也不会收到该类事件的告警通知。
- 拦截事件处理为误报后,该误报事件对应的规则将添加到全局白名单(原误报屏蔽)规则列表中,您可以在“防护策略”界面的“全局白名单(原误报屏蔽)”页面查看、关闭、删除或修改该规则。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域或项目。 - 单击页面左上方的
,选择。 - 在左侧导航树中,选择“防护事件”,进入“防护事件”页面。
- 在防护事件列表中,根据防护网站、事件类型、源IP、URL等信息筛选误拦截事件。
- 在误拦截事件所在行的“操作”列中,单击“详情”,查看事件详细信息,确认为误拦截事件。
图1 查看拦截事件详细信息
- 在误拦截事件所在行的“操作”列中,单击。
- 在弹出的对话框中,添加误报处理策略,详细的操作请参见处理误报事件。
图2 添加全局白名单规则
生效条件
设置误报处理后,1分钟左右生效,防护事件详情列表中将不再出现此误报。您可以刷新浏览器缓存,重新访问设置了误报处理的页面,如果访问正常,说明配置成功。
Web基础防护检测项说明
Web基础防护覆盖OWASP(Open Web Application Security Project)常见安全威胁,内置语义分析+正则双引擎,可以对恶意扫描器、IP、网马等威胁进行检测并拦截。请根据业务使用场景开启相应的检测项,详细的检测项说明如表1所示。
|
检测项 |
说明 |
|---|---|
|
常规检测 |
防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中,SQL注入攻击主要基于语义进行检测。
说明:
开启“常规检测”后,WAF将根据内置规则对常规检测项进行检测。 |
|
Webshell检测 |
防护通过上传接口植入网页木马。
说明:
开启“Webshell检测”后,WAF将对通过上传接口植入的网页木马进行检测。 |
|
深度检测 |
防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。
说明:
开启“深度检测”后,WAF将对深度反逃逸进行检测防护。 |
|
header全检测 |
默认关闭。关闭状态下WAF会检测常规存在注入点的header字段,包含User-Agent、Content-type、Accept-Language和Cookie。
说明:
开启“header全检测”后,WAF将对请求里header中所有字段进行攻击检测。 |
Web基础防护等级
Web基础防护支持三种防护等级:“宽松”、“中等”、“严格”,默认防护等级为“中等”。宽松的防护等级可能降低误报率,但可能导致漏报率增高;严格的防护等级可能增高误报率,但可以降低漏报率。防护等级的详细说明如表2所示。
