网站防火墙功能可有效地拦截跨站攻击,注入攻击,恶意采集,恶意篡改等黑客攻击形为。实现一键防护,安全无忧,对网站攻击提供全面无死角的安全保障。
一、拦截页面展示
拦截模式下,若客户端存在入侵行为,创宇盾将会进行拦截,拦截页面如下图:
二、报表展示
网站防火墙为拦截模式时会对攻击行为进行拦截并在报表中展示拦截时间、攻击地址、攻击IP、攻击归属地等信息,处理结果为“已拦截”,观察模式或拦截模式下加白的策略处理结果显示为“未拦截”。
三、日志记录,用户可登陆控制台下载7天内的拦截日志,下载位置为:【创宇盾】-【日志下载】-【攻击日志】,详细字段可查阅日志字段说明。
当网站防火墙为拦截模式时日志展示如下:
– 2021-07-19<SP>13:54:44 0.000 SPECIAL BAN 222.*.*.143 222.*.*.143 – www.example.com /gtrb GET – error -<||>- 403 1986 -Mozilla/5.0<SP>(Windows<SP>NT<SP>10.0;<SP>Win64;<SP>x64)<SP>AppleWebKit/537.36<SP>(KHTML,<SP>like<SP>Gecko)<SP>Chrome/91.0.4472.164<SP>Safari/537.36 – – – — 90112 54048 – 3085 0 0 –
当网站防火墙为观察模式时日志展示如下:
2021-08-03<SP>15:29:29 4.342 SQLI WAF_USER_OFF 22.*.*.50 22.*.*.50 – www.example.cool /fed/ GET – bypass 200 Mozilla/5.0<SP>(Windows<SP>NT<SP>10.0;<SP>Win64;<SP>x64)<SP>AppleWebKit/537.36<SP>(KHTML,<SP>like<SP>Gecko)<SP>Chrome/91.0.4472.164<SP>Safari/537.36 30009 – –
网站防火墙为关闭模式时日志展示如下:
2021-08-03<SP>15:24:53 0.083 NONE WAF_ADMIN_OFF 22.*.*.50 22.*.*.50 – www.example.cool /fed/ GET – bypass 200 Mozilla/5.0<SP>(Windows<SP>NT<SP>10.0;<SP>Win64;<SP>x64)<SP>AppleWebKit/537.36<SP>(KHTML,<SP>like<SP>Gecko)<SP>Chrome/91.0.4472.164<SP>Safari/537.36 – – –
四、拦截解决方案:
1)若出现拦截问题建议先核实是否为真实用户正常访问;
2)若核实为正常访问,确认是否为业务代码不规范导致,如请求报文中包含代码执行语句等较容易触发拦截,建议优化业务代码;
3)若网站代码无法调整优化,在IP固定且可信的情况下,可以将出口IP加白,加白后该IP所有请求均会放行;若业务访问IP不可控,可以对该URL针对加白当前触发的规则ID(拦截截图中展示的事件ID为此次触发的防御规则ID),加白后对该URL下触发此防御规则的请求均不拦截;
4)设置过程中如有疑问可反馈技术支持协助分析。
网站防火墙功能使用可参考:http://help.yunaq.com/faq/2775/index.html
网站防火墙最佳实践可参考:http://help.yunaq.com/faq/3372/index.html