通过误报处理提升Web基础防护效果_Web应用防火墙 WAF_最佳实践

前提条件

“防护事件”页面可以查看误拦截事件。

约束条件

同一个事件不能重复进行误报处理，即如果该事件已进行了误报处理，则不能再对该事件进行误报处理。

使用场景

业务正常请求被WAF拦截。例如，您在华为云ECS服务器上部署了一个Web应用，将该Web应用对应的公网域名接入WAF并开启Web基础防护后，该域名的请求流量命中了Web基础防护规则被WAF误拦截，导致通过域名访问网站显示异常，但直接通过IP访问网站正常。

系统影响

• 拦截事件处理为误报后，“防护事件”页面中将不再出现该事件，您也不会收到该类事件的告警通知。
• 拦截事件处理为误报后，该误报事件对应的规则将添加到误报屏蔽规则列表中，您可以在“防护策略”界面的“误报屏蔽”页面查看、关闭、删除或修改该规则。

操作步骤

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域或项目。
3. 单击页面左上方的，选择“安全 > Web应用防火墙 WAF”。
4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。
5. 在防护事件列表中，根据防护网站、事件类型、源IP、URL等信息筛选误拦截事件，如图1所示。
   图1 筛选误拦截事件
   

6. 在误拦截事件所在行的“操作”列中，单击“详情”，查看事件详细信息，确认为误拦截事件，如图2所示。
   图2 查看拦截事件详细信息
   

7. 在误拦截事件所在行的“操作”列中，单击“误报处理”。
8. 在弹出的对话框中，单击“确认添加”，完成误报处理。
   图3 误报处理
   
   • 单击“添加”，您可以添加其他防护域名，使该误报处理适用于其他防护域名。
   • 路径

     误报事件的URL路径，不包含域名。默认为事件的来源路径。

     • 前缀匹配：选择“前缀为”，代表以输入的路径为前缀。例如，需要防护的路径为“/admin/test.php”或 “/adminabc”，则路径可以填写为“/admin”。
     • 精准匹配：选择“等于”，需要防护的路径需要与此处填写的路径完全相等。例如，需要防护的路径为“/admin/test.php”，该规则必须填写为“/admin/test.php”。

生效条件

设置误报处理后，1分钟左右生效，防护事件详情列表中将不再出现此误报。您可以刷新浏览器缓存，重新访问设置了误报处理的页面，如果访问正常，说明配置成功。

相关操作

• 下载防护事件数据

  您可以在“防护事件”的“下载”页面，下载5天内的所有防护域名的防护事件数据，当天的防护事件数据，在次日凌晨生成到防护事件数据csv文件。

• 配置误报屏蔽规则

  针对某些规则ID或者事件类别进行忽略设置。例如，某URL不进行XSS的检查，可通过配置误报屏蔽规则，屏蔽XSS检查。

Web基础防护检测项说明

Web基础防护覆盖OWASP（Open Web Application Security Project）常见安全威胁，内置语义分析+正则双引擎，可以对恶意扫描器、IP、网马等威胁进行检测并拦截。请根据业务使用场景开启相应的检测项，详细的检测项说明如表1所示。

Web基础防护等级

Web基础防护支持三种防护等级：“宽松”、“中等”、“严格”，默认防护等级为“中等”。宽松的防护等级可能降低误报率，但可能导致漏报率增高；严格的防护等级可能增高误报率，但可以降低漏报率。防护等级的详细说明如表2所示。