對于“防護事件”頁面中的攻擊事件，如果排查后您確認該攻擊事件為誤報事件，即未發現該攻擊事件相關的惡意鏈接、字符等，則您可以通過設置URL和規則ID的忽略（Web基礎防護規則）、刪除或關閉對應的防護規則（自定義防護規則），屏蔽該攻擊事件。將攻擊事件處理為誤報事件后，“防護事件”頁面中將不再出現該攻擊事件。

當WAF根據內置的Web基礎防護規則和自定義防護規則（CC攻擊防護規則、精準訪問防護規則、黑白名單規則、地理位置訪問控制規則等）檢測到符合規則的惡意攻擊時，會按照規則中的防護動作（僅記錄、攔截等）在“防護事件”頁面中記錄檢測到的攻擊事件。

前提條件

事件詳情列表中包含誤報攻擊事件。

約束條件

• 僅基于WAF內置的Web基礎防護規則攔截或記錄的攻擊事件可以進行“誤報處理”操作。
• 基于自定義規則（CC攻擊防護規則、精準訪問防護規則、黑白名單規則、地理位置訪問控制規則等）攔截或記錄的攻擊事件，無法執行“誤報處理”操作，如果您確認該攻擊事件為誤報，可在自定義規則頁面，將該攻擊事件對應的防護規則刪除或關閉。
• 同一個攻擊事件不能重復進行誤報處理，即如果該攻擊事件已進行了誤報處理，則不能再對該攻擊事件進行誤報處理。
• 攔截事件處理為誤報后，“防護事件”頁面中將不再出現該事件。
• 獨享模式2022年6月之前的版本“不檢測模塊”不支持配置“所有檢測模塊”選項，僅支持配置“Web基礎防護模塊”。

使用場景

業務正常請求被WAF攔截。例如，您在ECS服務器上部署了一個Web應用，將該Web應用對應的公網域名接入WAF并開啟Web基礎防護后，該域名的請求流量命中了Web基礎防護規則被WAF誤攔截，導致通過域名訪問網站顯示異常，但直接通過IP訪問網站正常。

操作步驟

1. 登錄管理控制臺。

2. 單擊頁面頂部的區域選擇框，選擇區域。

3. 單擊頁面左上角的“服務列表”，選擇“安全 > Web應用防火墻（獨享版）”。

4. 在左側導航樹中，選擇“防護事件”，進入“防護事件”頁面。

5. 選擇“查詢”頁簽，在網站下拉列表中選擇待查看的防護網站，可查看“昨天”、“今天”、“3天”“7天”、“30天”或者自定義時間范圍內的防護日志。

6. 在“防護事件列表”中，根據實際情況對防護事件進行處理。

   • 確認事件為誤報，在目標防護事件所在行的“操作”列，單擊“事件處理 > 誤報處理”，添加誤報處理策略。

     

     添加誤報屏蔽策略，參數說明如表所示：

     參數
     參數說明
     取值樣例
     防護方式
     “全部域名”：默認防護當前策略下綁定的所有域名。
     “指定域名”：選擇策略綁定的防護域名或手動輸入泛域名對應的單域名。
     指定域名
     防護域名
     “防護方式”選擇“指定域名”時，需要配置此參數。
     需要手動輸入當前策略下綁定的需要防護的泛域名對應的單域名，且需要輸入完整的域名。
     www.example.com
     條件列表
     單擊“添加”增加新的條件，一個防護規則至少包含一項條件，最多可添加30項條件，多個條件同時滿足時，本條規則才生效。
     條件設置參數說明如下：
     字段
     子字段：當字段選擇“Params”、“Cookie”或者“Header”時，請根據實際使用需求配置子字段。子字段的長度不能超過2048字節，且只能由數字、字母、下劃線和中劃線組成。
     邏輯：在“邏輯”下拉列表中選擇需要的邏輯關系。
     內容：輸入或者選擇條件匹配的內容。
     “路徑”包含“/product”
     不檢測模塊
     “所有檢測模塊”：通過WAF配置的其他所有的規則都不會生效，WAF將放行該域名下的所有請求流量。
     “Web基礎防護模塊”：選擇此參數時，可根據選擇的“不檢測規則類型”，對某些規則ID或者事件類別進行忽略設置（例如，某URL不進行XSS的檢查，可設置屏蔽規則，屏蔽XSS檢查）。
     Web基礎防護模塊
     不檢測規則類型
     “不檢測模塊”選擇“Web基礎防護模塊”時，您可以選擇以下三種方式進行配置：
     按ID：按攻擊事件的ID進行配置。
     按類別：按攻擊事件類別進行配置，如：XSS、SQL注入等。一個類別會包含一個或者多個規則ID。
     所有內置規則：配置Web基礎防護規則里開啟的所有防護規則。
     按類別
     不檢測規則ID
     當“不檢測規則類型”選擇“按ID”時，需要配置此參數。
     “防護事件”列表中事件類型為非自定義規則的攻擊事件所對應的規則編號。建議您直接在防護事件頁面進行誤報處理。
     041046
     不檢測規則類別
     當“不檢測規則類型”選擇“按類別”時，需要配置此參數。
     在下拉框中選擇事件類別。
     WAF支持的防護事件類別有：XSS攻擊、網站木馬、其他類型攻擊、SQL注入攻擊、惡意爬蟲、遠程文件包含、本地文件包含、命令注入攻擊。
     SQL注入攻擊
     規則描述
     可選參數，設置該規則的備注信息。
     不攔截SQL注入攻擊
     高級設置
     如果您只想忽略來源于某攻擊事件下指定字段的攻擊，可在“高級設置”里選擇指定字段進行配置，配置完成后，WAF將不再攔截指定字段的攻擊事件。
     在左邊第一個下拉列表中選擇目標字段。支持的字段有：Params、Cookie、Header、Body、Multipart。
     當選擇“Params”、“Cookie”或者“Header”字段時，可以配置“全部”或根據需求配置子字段。
     當選擇“Body”或“Multipart”字段時，可以配置“全部”。
     當選擇“Cookie”字段時，“防護域名”可以為空。
     說明
     當字段配置為“全部”時，配置完成后，WAF將不再攔截該字段的所有攻擊事件。
     Params
     全部
     

   • 將源IP添加到地址組。在目標防護事件所在行的“操作”列，單擊“事件處理 > 添加到地址組”，添加成功后將根據該地址組所應用的防護策略進行攔截或放行。“添加方式”可選擇已有地址組或者新建地址組。
     

   • 將源IP添加至對應防護域名下的黑白名單策略。在目標防護事件所在行的“操作”列，單擊“事件處理 > 添加至黑白名單”，添加成功后該策略將始終對添加的攻擊源IP進行攔截或放行。
     

     參數說明見下表：

     參數
     參數說明
     添加方式
     選擇已有規則
     新建規則
     規則名稱
     添加方式選擇“選擇已有規則”時，在下拉框中選擇規則名稱。
     添加方式選擇“新建規則”時，自定義黑白名單規則的名字。
     IP/IP段或地址組
     添加方式選擇“新建規則”時，需要配置此參數。
     支持添加黑白名單規則的方式，“IP/IP段”或“地址組”。
     地址組名稱
     “IP/IP段或地址組”選擇“地址組”時，需要配置此參數。
     在下拉列表框中選擇已添加的地址組。
     防護動作
     攔截：IP地址或IP地址段設置的是黑名單且需要攔截，則選擇“攔截”。
     放行：IP地址或IP地址段設置的是白名單，則選擇“放行”。
     僅記錄：需要觀察的IP地址或IP地址段，可選擇“僅記錄”。
     攻擊懲罰
     當“防護動作”設置為“攔截”時，您可以設置攻擊懲罰標準。設置攻擊懲罰后，當訪問者的IP、Cookie或Params惡意請求被攔截時，WAF將根據懲罰標準設置的攔截時長來封禁訪問者。
     規則描述
     可選參數，設置該規則的備注信息。
     

生效條件

設置誤報處理后，1分鐘左右生效，攻擊事件詳情列表中將不再出現此誤報。您可以刷新瀏覽器緩存，重新訪問設置了誤報屏蔽的頁面，驗證是否配置成功。

相關操作

攔截事件處理為誤報后，該誤報事件對應的規則將添加到誤報屏蔽規則列表中，您可以在“防護策略”界面的“誤報屏蔽”頁面查看、關閉、刪除或修改該規則。有關配置誤報屏蔽規則的詳細操作，請參見： 配置全局白名單規則。