提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

一、问题概述:WAF漏判可能原因和排查思路概述

|

问题描述

问题描述:客户反馈部署防火墙后,服务器还是遭受到到了针对web应用的攻击行为。

告警信息

可能原因:
1、攻击流量可能没有经过防火墙。
2、安全防护策略没有针对目标服务器进行防护。
3、是否为HTTP业务,HTTPS业务需要配置解密防护策略才能正常生效
4、防火墙是否开启了直通状态,或者对服务器地址或者攻击源地址有加入到白名单。
5、设备安全策略里面的高级设置,对攻击行为添加了安全策略的白名单或者是列外处理。
6、安全进程异常导致安全防护失效。
7、修改过规则的默认动作,可通过还原默认规则库动作测试

有效排查步骤

1、确认waf攻击的目标服务器地址和源攻击地址,以及攻击类型。查询防火墙规则库是否可以找到对应的规则号ID,确认规则号ID对应的动作是否为启用后拦截。
2、查询安全日志对应故障时间点是否有其他waf模块安全日志生成,确认安全进程是否运行正常。
3、查看设备系统故障日志,是否有代理相关故障日志生成

根因



解决方案

联系技术支持建议提供以下信息:
1、故障现象描述:
2、故障发生时间:
3、故障影响范围:
4、故障前做过的操作:
5、设备部署模式及网络拓扑:
6、设备版本信息:
7、关键日志:现象不定时出现时需提供对应时间点黑匣子日志。

我要分享
文档编号: 217845
作者: admin
更新时间: 2023-01-05 17:29
适用版本: