×

深信服社区»版块 安全类 下一代防火墙NGAF AF 8.0.48 误判网站被入侵

AF 8.0.48 误判网站被入侵

查看数: 2831 | 评论数: 7 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2022-6-7 19:05

正文摘要:

升级到AF 8.0.48 后不久,外网防火墙报告公司官网被入侵,吓坏了,仔细检查,发现入侵的请求都被AF阻拦了,而且,登录到Web服务器上,查看网站的访问日志,均没有防火墙提示的那些入侵的外网IP的任何记录,哪怕是404 ...

回复

新手148744 发表于 2022-6-9 10:15
看下6楼的观点,webshell误报的情况下,如果不是影响到正常访问业务,可以忽略处理。如果有必要放通,再加白名单
jan 发表于 2022-6-9 09:15
加个白名单,如果判断为误报可以进行加白
在【策略】-【安全策略】-【安全防护策略】-【高级设置】-【WEB应用防护排除设置】IP地址白名单
新手805202 发表于 2022-6-8 16:25
8.0.48版本存在webshell误报,误报显示被入侵你就当没看见吧。源ip不要加白,这些ip存在攻击行为的。
小微 发表于 2022-6-8 10:55
防火墙的处理机制是,如果用户访问web会匹配防护墙里面的功能模块对应的规则id,规则id里面包含各种类型攻击的一些样本,会与用户访问的一个数据进行一个规则对比,如果匹配成功,会根据规则的动作进行匹配,拒绝或允许,一般遇到这种情况,首先确认源IP,或者这条数据是不是公司或者客户正在测试模拟攻击,如果是或者不是再根据具体情况进行放通或者加白,
山东_化敬允 发表于 2022-6-8 09:08
使用微步等第三方工具查看下攻击IP信息,是否为傀儡机,是的话封了就行
汤汤啊 发表于 2022-6-8 09:02
需要看下响应值,到底是404还是200了   通过验伤来查看是否真的留下了后门,如果判断为误报可以进行加白
在【策略】-【安全策略】-【安全防护策略】-【高级设置】-【WEB应用防护排除设置】IP地址白名单
会飞的癞蛤蟆 发表于 2022-6-7 22:06
把这个事件加白试试呢,或者,联系400客服给处理一下呢。