IBM Cloud Docs
如何对 WAF 中的误报和误报进行故障诊断?

如何对 WAF 中的误报和误报进行故障诊断?

缺省情况下,Web 应用程序防火墙 (WAF) 通过仪表板进行完全管理,并且与大多数 Web 站点和 Web 应用程序兼容。 但是,您可能会迂到误报和误报。

当检测到合法请求并将其过滤为恶意请求时,将发生误报。 当未过滤恶意请求时,将发生误报。

对 WAF 误报进行故障诊断

对于每个网站来说,可疑内容的定义都是主观的。 例如,发布到 Web 站点的 PHP 代码是可疑的,除非您的 Web 站点教导如何编码并要求访问者提交 PHP 代码。 因此,此类 Web 站点必须禁用干扰正常操作的相关 WAF 规则。

要测试误报,请将 WAF 设置为“模拟”方式,以记录对可能攻击的响应,而无需挑战或阻止。 此外,请使用“防火墙分析活动”日志来确定哪些 WAF 规则导致误报。

如果迂到假阳性,有几个潜在的解决:

  • 将客户机的 IP 地址添加到“IP 访问规则”允许列表: 如果浏览器或客户机从相同的 IP 地址访问,那么建议允许。
  • 禁用相应的 WAF 规则。 这样做会阻止或挑战误报,但会降低整体站点安全性。 WAF 规则标识 981176 阻止的请求引用了 OWASP 规则。 降低 OWASP 敏感度以解决问题。
  • 使用防火墙规则绕过 WAF: 使用旁路操作创建防火墙规则以取消激活特定参数组合的 WAF。 例如,绕过特定 URL 和特定 IP 地址或用户代理的 WAF。
  • 对指向 URL 的流量禁用 WAF (不建议)。 使用页面规则禁用 WAF 会降低特定 URL 端点的安全性。

如果您联系 IBM 支持人员以验证 WAF 规则是否按预期触发,请提供在发送特定关注请求时捕获的 HAR 文件。

如果一个特定规则导致误报,请将规则的“方式”设置为“禁用”,而不是关闭整个规则组。 对于 Web 站点上具有管理员内容的误报,请创建页面规则以禁用站点资源的管理部分的安全性,例如 yoursite.com/admin

对 WAF 假阴性进行故障诊断

要识别误报,请查看源 Web 服务器上的 HTTP 日志。

要减少误报,请使用以下核对表:

  • 防火墙应用程序中的 Web 应用程序防火墙 On 是否位于“受管规则”下?
  • Web 应用程序防火墙 Off 是否正在使用页面规则?
  • 缺省情况下,并非所有 WAF 规则都已启用,因此请查看各个 WAF 规则缺省操作。 例如,缺省情况下,CIS 允许具有空用户代理程序的请求。

要阻止具有空用户代理程序的请求,请将 WAF 规则方式更改为 Block

  • 为 HTTP 流量提供服务的 DNS 记录是否通过 CIS进行代理?
  • 防火墙规则是否绕过 CIS 受管规则?
  • IP 访问规则或防火墙规则中允许的国家或地区,ASN,IP 范围或 IP 是否与攻击流量匹配?
  • 恶意流量是否指向源 IP 地址以绕过 CIS 保护? 阻止来自源 Web 服务器上 CIS的 IP 地址以外的所有流量。