前提條件

“防護事件”頁面可以查看誤攔截事件。

約束條件

同一個事件不能重復進行誤報處理，即如果該事件已進行了誤報處理，則不能再對該事件進行誤報處理。

使用場景

業務正常請求被WAF攔截。例如，您在天翼云ECS服務器上部署了一個Web應用，將該Web應用對應的公網域名接入WAF并開啟Web基礎防護后，該域名的請求流量命中了Web基礎防護規則被WAF誤攔截，導致通過域名訪問網站顯示異常，但直接通過IP訪問網站正常。

系統影響

• 攔截事件處理為誤報后，“防護事件”頁面中將不再出現該事件，您也不會收到該類事件的告警通知。
• 攔截事件處理為誤報后，該誤報事件對應的規則將添加到全局白名單（原誤報屏蔽）規則列表中，您可以在“防護策略”界面的“全局白名單（原誤報屏蔽）”頁面查看、關閉、刪除或修改該規則。

操作步驟

步驟 1 登錄管理控制臺。

步驟 2 單擊管理控制臺左上角的區域選擇框，選擇區域或項目。

步驟 3 單擊頁面左上方的“服務列表”，選擇“安全> Web應用防火墻 （獨享版）”。

步驟 4 在左側導航樹中，選擇“防護事件”，進入“防護事件”頁面。

步驟 5 在防護事件列表中，根據防護網站、事件類型、源IP、URL等信息篩選誤攔截事件。

步驟 6 在誤攔截事件所在行的“操作”列中，單擊“詳情”，查看事件詳細信息，確認為誤攔截事件。

步驟 7 在誤攔截事件所在行的“操作”列中，單擊“更多 > 誤報處理”。

步驟 8 在彈出的對話框中，點擊“前去處理”，點擊全局白名單（原誤報屏蔽）的“自定義全局白名單規則”，跳轉至全局白名單列表頁，點擊頁面左上方“添加規則”，添加白名單處理規則。

生效條件

設置誤報處理后，1分鐘左右生效，防護事件詳情列表中將不再出現此誤報。您可以刷新瀏覽器緩存，重新訪問設置了誤報處理的頁面，如果訪問正常，說明配置成功。

Web基礎防護檢測項說明

Web基礎防護覆蓋OWASP（Open Web Application Security Project）常見安全威脅，內置語義分析+正則雙引擎，可以對惡意掃描器、IP、網馬等威脅進行檢測并攔截。請根據業務使用場景開啟相應的檢測項，詳細的檢測項說明如下表所示。

檢測項
說明
常規檢測
防護SQL注入、XSS跨站腳本、遠程溢出攻擊、文件包含、Bash漏洞攻擊、遠程命令執行、目錄遍歷、敏感文件訪問、命令/代碼注入等攻擊。其中，SQL注入攻擊主要基于語義進行檢測。
說明
開啟“常規檢測”后，WAF將根據內置規則對常規檢測項進行檢測。
Webshell檢測
防護通過上傳接口植入網頁木馬。
說明
開啟“Webshell檢測”后，WAF將對通過上傳接口植入的網頁木馬進行檢測。
深度檢測
防護同形字符混淆、通配符變形的命令注入、UTF7、Data URI Scheme等深度反逃逸。
說明
開啟“深度檢測”后，WAF將對深度反逃逸進行檢測防護。
header全檢測
默認關閉。關閉狀態下WAF會檢測常規存在注入點的header字段，包含User-Agent、Content-type、Accept-Language和Cookie。
說明
開啟“header全檢測”后，WAF將對請求里header中所有字段進行攻擊檢測。
Shiro解密檢測
默認關閉。開啟后，WAF會對Cookie中的rememberMe內容做AES，Base64解密后再檢測。Web應用防火墻檢測機制覆蓋了幾百種已知泄露密鑰。
說明
如果您的網站使用的是Shiro 1.2.4及之前的版本，或者升級到了Shiro 1.2.5及以上版本但是未配置AES，強烈建議您開啟“Shiro解密檢測”，以防攻擊者利用已泄露的密鑰構造攻擊。

Web基礎防護等級

Web基礎防護支持三種防護等級：“寬松”、“中等”、“嚴格”，默認防護等級為“中等”。寬松的防護等級可能降低誤報率，但可能導致漏報率增高；嚴格的防護等級可能增高誤報率，但可以降低漏報率。防護等級的詳細說明如下表所示。

防護等級
說明
寬松
防護粒度較粗，只攔截攻擊特征比較明顯的請求。
當誤報情況較多的場景下，建議選擇“寬松”模式。
中等
默認為“中等”防護模式，滿足大多數場景下的Web防護需求。
嚴格
防護粒度最精細，可以攔截具有復雜的繞過特征的攻擊請求。
當需要更嚴格地防護SQL注入、跨站腳本、命令注入等攻擊行為時，建議使用“嚴格”模式。