经过W2080访问web服务器网页被阻断问题处理经验案例

无

客户采购了H3C WAF防火墙W2080，架设在内网应用服务器前端，希望对内网的服务器提供安全防护。发现自从该设备架设后内网服务器上的部分网页无法正常访问，浏览器页面显示如下图，未架设W2080之前均正常。

在W2080配置，对有内网服务器配置了防护站点，规则启用的是“预设规则”，无其他特殊配置。  

内同网段测试访问正常，确认服务器web应用本身无问题，通过W2080代理访问测试就失败，可以初步定为是W2080上策略导致。

登陆设备查看事件日志，根据服务器IP地址检索到如下日志，发现客户端的http访问经过W2080时匹配到了防御规则“12010084”，原因是访问中带有攻击特征串“=1|”被认为是SQL注入攻击，导致http访问被阻断。

通过了解，web资源的url为“***.***/?m=1|2 ”，确实带有攻击特征串的字符  

问题可以通过修改web资源url，改为不带攻击特征串；或者修改设备侧防御规则将动作从阻断改为仅检测，表示当设备检测到被防护站点受到攻击时，不拦截该攻击行为，只记录相应的应用防护日志，操作方法如下。

在设备“规则->规则组”中搜索到12010084编号的规则，点击“配置”

修改规则配置，将动作改成“仅检测”

点击管理界面上方的“应用更改”按钮，进入应用更改界面，点击 “应用更改”  进行生效