某局点部署WA2000-AK系列web应用防火墙后某内部服务器网页无法正常打开

拓扑图如下：

某局点在某网站服务器前透明部署了web应用防火墙保护内部某网站服务器，但是当在设备上配置web安全策略后，发现网站服务器部分页面无法正常打开。

1.首先通过Web安全日志检查是否被安全策略拦截

此时发现发现攻击类型处显示为：挂马攻击。

2.检查Web安全策略中-服务器挂马检测配置

  挂马可选域名库

服务器挂马监测启用后会对将检测用户访问的页面是否有被转向的URL，如果有 <script src=”http://domain/……”>, 或<iframe src=”http://domain/……..” width="0" height="0">，而且这里指向的domain和用户访问的页面的domain不一致，则Waf会对其进行拦截。

我们通过浏览器按F12打开调试台—网络或者查看器，用此来检查打开对应故障页面URL是否在挂马监测中。

我们发现网页源代码部分如下，其中跳转的URL不在挂马监测domain内。

如果转向的是没有在列表中配置的链接，WAF设备都会认为是网站被挂，在挂马监控域中添加对应合法链接即可。