无
客户采购了H3C WAF防火墙W2080,架设在内网应用服务器前端,希望对内网的服务器提供安全防护。发现自从该设备架设后内网服务器上的部分网页无法正常访问,浏览器页面显示如下图,未架设W2080之前均正常。
在W2080配置,对有内网服务器配置了防护站点,规则启用的是“预设规则”,无其他特殊配置。
内同网段测试访问正常,确认服务器web应用本身无问题,通过W2080代理访问测试就失败,可以初步定为是W2080上策略导致。
登陆设备查看事件日志,根据服务器IP地址检索到如下日志,发现客户端的http访问经过W2080时匹配到了防御规则“12010084”,原因是访问中带有攻击特征串“=1|”被认为是SQL注入攻击,导致http访问被阻断。
通过了解,web资源的url为“***.***/?m=1|2 ”,确实带有攻击特征串的字符
问题可以通过修改web资源url,改为不带攻击特征串;或者修改设备侧防御规则将动作从阻断改为仅检测,表示当设备检测到被防护站点受到攻击时,不拦截该攻击行为,只记录相应的应用防护日志,操作方法如下。
在设备“规则->规则组”中搜索到12010084编号的规则,点击“配置”
修改规则配置,将动作改成“仅检测”
点击管理界面上方的“应用更改”按钮,进入应用更改界面,点击 “应用更改” 进行生效
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作