一、针对被拦截的服务器ip新增一条策略实现排除效果(最优解决方案,放通颗粒度较小)
1、防火墙waf策略匹配原则:
①基于源目区域、源目网络对象优先匹配策略->②策略匹配上后,进一步匹配策略中waf模板勾选的“防护功能”和“防护类型”(若勾选了则会匹配,若未勾选则会往下匹配后面的策略)->③还没结束,若对应“防护功能”勾选了则匹配waf模板的高级配置勾选项(高级配置主要用于配置防护功能以及一些高级防护功能);若“防护类型”勾选了,则匹配对应的特征库中的规则id或云端基于此类攻击的一些检测引擎;
注意:防火墙waf策略匹配最小颗粒度到高级配置中勾选项;以应用隐藏功能为例:可配置ftp以及http两种协议检测,对应协议勾选了,则会在该策略中匹配对应协议防护规则,若未勾选则会往下匹配其他策略;部分勾选项还有“设置”按钮,设置中的勾选项若未勾选,防火墙不会在往下匹配其他策略,会认为该防护功能中防护的协议已进行检测;
2、基于上述逻辑,可通过新增策略方式排除http协议的应用隐藏拦截(ftp协议不适用),新增waf模板,
防护端口与原先模板的防护端口设置为一致,模板勾选“应用隐藏”防护功能,其他的防护功能以及防护类型均不勾选->高级配置针对应用隐藏的防护配置只勾选http协议,并把http协议设置中的检测逻辑取消勾选;这样防火墙则会认为该流量已检测了waf防护中的http应用隐藏功能,不会在匹配下面策略对应功能:
3、新增安全防护策略->防护的源目区域与原先拦截策略的区域设置为一致->只选择waf防护并勾选刚新增的waf模板;实现效果:被拦截的业务流量会匹配上该策略,但是只检测http协议的应用隐藏功能,由于http协议应用隐藏设置中未勾选http状态码拦截,所以不会产生拦截效果;其他的waf“防护功能”和“防护类型”则继续匹配原有策略,保证最小颗粒度排除;
二、直接关掉原有策略的http应用隐藏功能(非最优解决方案,放通颗粒度较大,所有基于这条策略防护的ip均生效)
1.通过直通拦截信息,确认拦截匹配的安全防护策略、功能名称、攻击类型,确认攻击类型是:过滤HTTP出错页面。
2.在【安全策略模板】-【WEB应用防护】中,找到步骤1中对应安全防护策略应用的模板,打开对应的模板,勾选【应用隐藏】。
3.打开模板中的【高级配置】,点击【应用隐藏】中【HTTP】设置,取消勾选替换服务器出错页面和替换请求出错页面并点击确定。
4.在【高级配置】中点击确定,并取消勾选【应用隐藏】并点击确定。
5.重新下发对应安全防护策略。
建议使用Chrome浏览器访问!
