通过误报处理提升web基础防护效果-凯发k8国际娱乐官网入口
当您的网站接入web应用防火墙(web application firewall,简称waf)并开启web基础防护后,waf会根据您设置的web基础防护规则检测并拦截命中规则的请求。如果业务正常请求命中web基础防护规则被waf误拦截,可能导致正常请求访问网站显示异常,此时,您可以通过误报处理使waf不再拦截该请求,提升web基础防护效果。
前提条件
“防护事件”页面可以查看误拦截事件。
约束条件
同一个事件不能重复进行误报处理,即如果该事件已进行了误报处理,则不能再对该事件进行误报处理。
使用场景
业务正常请求被waf拦截。例如,您在华为云ecs服务器上部署了一个web应用,将该web应用对应的公网域名接入waf并开启web基础防护后,该域名的请求流量命中了web基础防护规则被waf误拦截,导致通过域名访问网站显示异常,但直接通过ip访问网站正常。
系统影响
- 拦截事件处理为误报后,“防护事件”页面中将不再出现该事件,您也不会收到该类事件的告警通知。
- 拦截事件处理为误报后,该误报事件对应的规则将添加到全局白名单(原误报屏蔽)规则列表中,您可以在“防护策略”界面的“全局白名单(原误报屏蔽)”页面查看、关闭、删除或修改该规则。
操作步骤
- 。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在左侧导航树中,选择“防护事件”,进入“防护事件”页面。
- 在防护事件列表中,根据防护网站、事件类型、源ip、url等信息筛选误拦截事件。
图1 防护事件列表
- 在误拦截事件所在行的“操作”列中,单击“详情”,查看事件详细信息,确认为误拦截事件。
图2 查看拦截事件详细信息
- 在误拦截事件所在行的“操作”列中,单击 。
- 在弹出的对话框中,添加误报处理策略。
图3 添加全局白名单规则
生效条件
设置误报处理后,1分钟左右生效,防护事件详情列表中将不再出现此误报。您可以刷新浏览器缓存,重新访问设置了误报处理的页面,如果访问正常,说明配置成功。
相关操作
- 下载防护事件数据
您可以在“防护事件”的“下载”页面,下载5天内的所有防护域名的防护事件数据,当天的防护事件数据,在次日凌晨生成到防护事件数据csv文件。
- 配置全局白名单(原误报屏蔽)规则
针对某些规则id或者事件类别进行忽略设置。例如,某url不进行xss的检查,可通过配置全局白名单(原误报屏蔽)规则,屏蔽xss检查。
web基础防护检测项说明
web基础防护覆盖owasp(open web application security project)常见安全威胁,内置语义分析 正则双引擎,可以对恶意扫描器、ip、网马等威胁进行检测并拦截。请根据业务使用场景开启相应的检测项,详细的检测项说明如表1所示。
检测项 |
说明 |
---|---|
常规检测 |
防护sql注入、xss跨站脚本、远程溢出攻击、文件包含、bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中,sql注入攻击主要基于语义进行检测。
说明:
开启“常规检测”后,waf将根据内置规则对常规检测项进行检测。 |
webshell检测 |
防护通过上传接口植入网页木马。
说明:
开启“webshell检测”后,waf将对通过上传接口植入的网页木马进行检测。 |
深度检测 |
防护同形字符混淆、通配符变形的命令注入、utf7、data uri scheme等深度反逃逸。
说明:
开启“深度检测”后,waf将对深度反逃逸进行检测防护。 |
header全检测 |
默认关闭。关闭状态下waf会检测常规存在注入点的header字段,包含user-agent、content-type、accept-language和cookie。
说明:
开启“header全检测”后,waf将对请求里header中所有字段进行攻击检测。 |
shiro解密检测 |
默认关闭。开启后,waf会对cookie中的rememberme内容做aes,base64解密后再检测。web应用防火墙检测机制覆盖了几百种已知泄露密钥。
说明:
如果您的网站使用的是shiro 1.2.4及之前的版本,或者升级到了shiro 1.2.5及以上版本但是未配置aes,强烈建议您开启“shiro解密检测”,以防攻击者利用已泄露的密钥构造攻击。 |
web基础防护等级
web基础防护支持三种防护等级:“宽松”、“中等”、“严格”,默认防护等级为“中等”。宽松的防护等级可能降低误报率,但可能导致漏报率增高;严格的防护等级可能增高误报率,但可以降低漏报率。防护等级的详细说明如表2所示。
防护等级 |
说明 |
---|---|
宽松 |
防护粒度较粗,只拦截攻击特征比较明显的请求。 当误报情况较多的场景下,建议选择“宽松”模式。 |
中等 |
默认为“中等”防护模式,满足大多数场景下的web防护需求。 |
严格 |
防护粒度最精细,可以拦截具有复杂的绕过特征的攻击请求。 当需要更严格地防护sql注入、跨站脚本、命令注入等攻击行为时,建议使用“严格”模式。 |
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨