#2022争霸赛*干货满满#安全策略拦截#WEB防护拦截处理过程

问题：用户反馈业务中的某个功能一点就断开，没反应

结论：安全防护策略中的WEB防护拦截，通过添加规则ID为例外，完成业务恢复

ps：本处理结果为精细放通

处理过程：

1、对服务器IP进行定向直通，并询问客户，业务是否正常，客户反馈已恢复正常

2、查看安全日志，目的服务器IP和直通IP一致，且安全日志显示的：攻击类型、规则ID都能够和定向直通中的日志对应。

经过两层验证，此时判断是 类型为信息泄露攻击、方法为post的规则拦截

3、添加自定义：WEB应用防护排除

配置路径：策略-安全策略-安全防护策略-高级设置-web应用防护排除设置-新增，然后配上源对象和目的（服务器IP），以及规则ID，路径

原因分析：

业务的行为操作和安全规则匹配上，导致的拦截，属于误判（代码不规范非标准行为也可能触发）

解决方案：

通常这种误判，建议通过高级设置做例外放通（只针对拦截的规则ID），见处理过程3；

---不建议单独加白服务器IP或者直接把WEB防护的动作为允许，因为其他攻击还是要正常拦截。

建议总结：

某些业务代码不规范，或者行为属于高风险，防火墙默认安全规则是拦截的，这个只能遇到一个放一个了，除非客户明确不要其他防护了，不然不建议直接加白或策略设置动作为允许。----如果业务影响范围大，就别慢慢搞了，果段采取直通或加白优先恢复业务再说，等业务低峰期了再慢慢调。

专家点评：感谢楼主分享！文章详细介绍了AF针对规则ID加白的前因后果，图文并茂，很有借鉴价值，期待楼主后续带来更多有价值的分享。

牛逼，多谢大佬的分享！

大佬就是6，学习了

学习了！大佬牛痞

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

每天学习一点点，每天进步一点点！

好帖子，感谢楼主的分享！！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

感谢分享