利用IP访问规则和白名单规则,遵循最小化放行原则,解决因为WAF误报导致的正常业务中断。
背景信息
WAF的防护逻辑基于对攻击特征的识别,但在复杂的业务场景下,正常的业务流量有时也可能携带与攻击特征相似的字符串,从而导致“误报”,阻断正常业务,影响用户体验和业务连续性。因此,建立一套科学、安全的误报处理机制,是WAF成功落地的关键。该方案旨在帮助您解决以下核心问题:
业务中断:避免因 WAF 误报导致正常的业务流程(如支付、下单、内容发布)失败。
运维效率低下:减少因误报问题导致的业务部门与安全部门之间的反复沟通和故障排查。
用户体验下降:确保最终用户、内部员工的正常操作不被安全策略所干扰。
合作伙伴API调用:某个合作伙伴通过API与系统进行数据同步,其正常的POST请求因包含了特定JSON或XML结构,避免被WAF的托管规则误判为攻击。
操作步骤
本方案遵循“最小化放行原则”,即在解决误报问题的同时,尽可能地减小安全策略的“豁免范围”,避免引入新的安全风险。
利用IP访问规则放行可信IP
IP访问规则可以对整个站点的HTTP(七层)请求和TCP/UDP(四层)请求生效,并且在所有WAF规则中优先级是最高的。因此,对于已经确定是完全可信的IP,可以使用IP访问规则来放行,避免被其他WAF规则拦截。
不建议将不确定的、动态的IP地址段加入放行名单。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在站点详情页面,选择。
类型选择IP/IP段,然后输入可信IP/IP段(例如:公司固定的公网出口IP、可信的合作伙伴服务器IP、堡垒机IP等地址或IP段),执行动作选择放行,填写适当的备注信息。
单击添加规则,放行可信IP的规则即可创建成功并生效。
使用白名单规则精确处理误报
白名单规则允许根据业务场景,自定义放行具有指定特征的请求,使请求不经过全部或特定防护规则(自定义规则、频次控制、托管规则、扫描防护、Bot管理)的检测。当误报源的IP不固定,但其请求带有独特的业务标识时,可使用白名单规则添加例外,精准放行。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在站点详情页面,选择。
在白名单规则页签,单击新增规则。规则内容如下:对于Header中携带
X-Partner-ID: 1305015971,并且访问的URL路径以/api/platform开头的请求,跳过托管规则的检查。
填写规则名称,例如:根据请求头,放行xx公司的api。
填写如果请求匹配以下规则...,根据自身业务的配置,填写可信的特征标识。该示例表示匹配的请求是:携带
X-Partner-ID: 1305015971请求头,并且访问开放平台的接口(/api/platform开头的请求表示开放平台的接口)。填写则跳过…,根据自身业务场景选择全部规则或部分规则种类或ID(根据最小化放行原则,推荐选择部分规则种类或ID)。该示例表示,满足匹配规则的请求,跳过所有的托管规则。
单击确定,配置的放行规则即可创建成功并生效。