安恒明御WAF防火墙日志管理功能指南.pptx

安恒明御WAF防火墙日志管理功能指南技术创新 变革未来日志管理应用防护日志网络防护日志CC防护日志访问审计防篡改日志IP信誉库误判分析操作日志系统日志升级日志1、应用防护日志应用防护日志是对攻击事件的记录审计，常见的攻击行为有SQL注入、XSS、CSRF等攻击行为都可以通过应用防护日志进行记录。应用防护日志记录的内容主要有攻击者IP地址、攻击特征、攻击时间、URL地址等内容，通过应用防护日志能够更好的协助管理员及时的了解攻击行为和攻击来源1、应用防护日志告警日志需要查看“攻击特征串”、“触发的规则号”攻击特征串：通过查看攻击特征串可以明确是什么攻击特征导致触发了WAF规则触发的规则号：通过查看触发的规则号，告警告警日志中的规则号，可以查看规则的描述，另外可以对规则进行调整，比如是否开启规则，规则的动作进行调整1、应用防护日志告警日志中点击触发的规则号，可以查看规则的描述，另外还可以对规则进行如下调整：1.可以对规则状态进行调整，比如关闭规则，如果这条规则导致大量的误报，可以关闭该规则2.大部分规则的动作默认是“阻断并告警”，如果该规则误报性比较高，可以选择将规则动作选择为“仅检测”3.在规则调整误报的时候，可以选择将URL添加到规则白名单中，点击“添加当前URL到白名单”，WAF会自动将URL加入到白名单中，这样这条规则就不会在检测该URL1、应用防护日志WAF告警日志可以记录“请求头部内容”、“POST请求内容”、“服务器返回头部内容”、“服务器返回内容”点击告警日志中的“详细”按钮，可以查看“请求头部”、“请求内容”、“服务器返回头部”、“服务器返回内容”，通过查看“请求头部”、“请求内容”方便我们更好的对规则进行调整，一般攻击都是集中在“请求头部”、“请求内容”，因此要学会查看请求头部和请求内容1、应用防护日志——请求头部内容一般攻击都会存在请求的URL、请求参数中、或者请求请求头部的各个字段中，比如user-agent、referer等字段中，常见的攻击主要是SQL注入、XSS、命令注入等1、应用防护日志——请求内容有些攻击会在POST参数或POST内容中存在，因此需要查看请求内容，常见的攻击包括SQL注入、XSS等2、规则误报调整——常见的比较容易误报的规则目前WAF规则常见的误报规则如下所示：协议违———对HTTP请求行进行基本的合规性验证，如对请求方法进行有效性验证协议违———防止参数中包含无效的转义字符(%)协议违———对multipart/form-data格式严格检查协议违———过滤特殊字符,如“文件限———阻止URL文件扩展名受限制的访问，“browser.html，ewebeditor.asp，fckeditor.html”文件限———阻止URL文件扩展名受限制的访问，如“ewebeditor.asp”文件限———阻止异常的请求体类型SQL注———阻止sql进行注入攻击，防参数中出现单引号SQL注———阻止sql进行注入攻击，防参数、cookie中的注释符/**/SQL注———阻止sql进行注入攻击，防参数、cookie中的注释符#和关键字2、规则误报调整———常见的比较容易误报的规则目前WAF规则常见的误报规则如下所示：SQL注———阻止sql进行注入攻击，防参数中的注释符--和关键字SQL盲———阻止sql盲注，防||或者以/* */注释分 割特征串的注入SQL盲———阻止sql盲注，防=+++或者以0+0+0“等绕过型SQL盲注跨站脚本攻——— 阻止xss注入攻击，防类似“SCRIPT SRC=/xss.jpg跨站脚本攻———阻止xss注入攻击，防类似“a href=#nogo onClick跨站脚本攻———阻止xss注入攻击，防类似a、abbr等html元素关键字跨站脚本攻———阻止xss注入攻击，防background、dynsrc、href、lowsrc、src等关键字跨站脚本攻———阻止xss注入攻击，防asfunction、javascript、vbscript、data、mocha、livescript等关键字2、规则误报调整———常见的比较容易误报的规则目前WAF规则常见的误报规则如下所示：跨站脚本攻———阻止xss注入攻击，防类似“STYLE TYPE=text/javascriptalert(XSS);/S