提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

基础排查:检查安全策略的配置,检查WEB应用防护库的版本

|

问题描述

WAF误判问题的基础排查

告警信息

可能原因如下:
1、WAF安全策略配置错误——检查waf安全策略是否配置正确
2、web应用识别库非最新版本——检查WEB应用防护库是否是最新的,是否是因为规则更新后没有同步导致误判
3、HTTPS业务未配置解密——检查https业务是否配置解密策略,没有配置解密导致防火墙无法正常识别数据导致误判
详细操作方法可以参考下列有效排查步骤说明

有效排查步骤

一、确认安全防护策略配置是否正确
1、WAF策略只能配置为“业务防护策略”,源区域为外网访问进来的区域,目的区域为服务器所在区域。特别注意:虚拟网线部署注意抓包对比时间确认源目区域配置正确!


二、检查WEB应用防护库是否更新到了最新版本
在设备【系统】->【安全能力更新】 检查设备WAF规则库是否更新到最新版本。如果设备无法联网可以在社区自助服务查看当前最新的WAF规则库版本。
检查设备规则库版本

社区查看当前规则库最新版本


三、检查确认是否HTTPS数据
确认需要防护的URL是否为HTTPS业务,HTTPS需要在AF设备上配置解密,具体操作方法见解密的典型场景(典型场景-解密不生效排查)或者在数据包到AF前,做SSL卸载。

四、检查业务监督学习模型是否开启
业务监督学习模型主要是学习和优化SQL注入的相关检测,检查是否有把对应行为标记为攻击。

解决方案

以上步骤未解决您的问题,可收集以下信息问题流转L2:
1、故障现象描述:
2、故障发生时间:
3、故障影响范围:
4、设备部署模式及网络拓扑:
5、设备版本信息:
6、WAF误判导致拦截的安全日志:
7、初步排查结果:

我要分享
文档编号: 221875
作者: admin
更新时间: 2023-01-05 17:29
适用版本: