安恒明御WAF防火墻日志管理功能指南

1、安恒明御WAF防火墻日志管理功能指南技術(shù)創(chuàng)新 變革未來2日志管理應(yīng)用防護日志網(wǎng)絡(luò)防護日志CC防護日志訪問審計防篡改日志IP信譽庫誤判分析操作日志系統(tǒng)日志升級日志31、應(yīng)用防護日志應(yīng)用防護日志是對攻擊事件的記錄審計，常見的攻擊行為有SQL注入、XSS、CSRF等攻擊行為都可以通過應(yīng)用防護日志進(jìn)行記錄。應(yīng)用防護日志記錄的內(nèi)容主要有攻擊者IP地址、攻擊特征、攻擊時間、URL地址等內(nèi)容，通過應(yīng)用防護日志能夠更好的協(xié)助管理員及時的了解攻擊行為和攻擊來源41、應(yīng)用防護日志告警日志需要查看“攻擊特征串”、“觸發(fā)的規(guī)則號”攻擊特征串：通過查看攻擊特征串可以明確是什么攻擊特征導(dǎo)致觸發(fā)了WAF規(guī)則觸發(fā)的規(guī)則號：通

2、過查看觸發(fā)的規(guī)則號，告警告警日志中的規(guī)則號，可以查看規(guī)則的描述，另外可以對規(guī)則進(jìn)行調(diào)整，比如是否開啟規(guī)則，規(guī)則的動作進(jìn)行調(diào)整51、應(yīng)用防護日志告警日志中點擊觸發(fā)的規(guī)則號，可以查看規(guī)則的描述，另外還可以對規(guī)則進(jìn)行如下調(diào)整：1.可以對規(guī)則狀態(tài)進(jìn)行調(diào)整，比如關(guān)閉規(guī)則，如果這條規(guī)則導(dǎo)致大量的誤報，可以關(guān)閉該規(guī)則2.大部分規(guī)則的動作默認(rèn)是“阻斷并告警”，如果該規(guī)則誤報性比較高，可以選擇將規(guī)則動作選擇為“僅檢測”3.在規(guī)則調(diào)整誤報的時候，可以選擇將URL添加到規(guī)則白名單中，點擊“添加當(dāng)前URL到白名單”，WAF會自動將URL加入到白名單中，這樣這條規(guī)則就不會在檢測該URL61、應(yīng)用防護日志W(wǎng)AF告警日志可

3、以記錄“請求頭部內(nèi)容”、“POST請求內(nèi)容”、“服務(wù)器返回頭部內(nèi)容”、“服務(wù)器返回內(nèi)容”點擊告警日志中的“詳細(xì)”按鈕，可以查看“請求頭部”、“請求內(nèi)容”、“服務(wù)器返回頭部”、“服務(wù)器返回內(nèi)容”，通過查看“請求頭部”、“請求內(nèi)容”方便我們更好的對規(guī)則進(jìn)行調(diào)整，一般攻擊都是集中在“請求頭部”、“請求內(nèi)容”，因此要學(xué)會查看請求頭部和請求內(nèi)容71、應(yīng)用防護日志請求頭部內(nèi)容一般攻擊都會存在請求的URL、請求參數(shù)中、或者請求請求頭部的各個字段中，比如user-agent、referer等字段中，常見的攻擊主要是SQL注入、XSS、命令注入等81、應(yīng)用防護日志請求內(nèi)容有些攻擊會在POST參數(shù)或POST內(nèi)容中

4、存在，因此需要查看請求內(nèi)容，常見的攻擊包括SQL注入、XSS等92、規(guī)則誤報調(diào)整常見的比較容易誤報的規(guī)則目前WAF規(guī)則常見的誤報規(guī)則如下所示：協(xié)議違規(guī)11010001對HTTP請求行進(jìn)行基本的合規(guī)性驗證，如對請求方法進(jìn)行有效性驗證協(xié)議違規(guī)11010007防止參數(shù)中包含無效的轉(zhuǎn)義字符(%)協(xié)議違規(guī)11010013對multipart/form-data格式嚴(yán)格檢查協(xié)議違規(guī)11010014過濾特殊字符,如“文件限制11060007阻止URL文件擴展名受限制的訪問，“browser.html，ewebeditor.asp，fckeditor.html”文件限制11060008阻止URL文件擴展名受限

5、制的訪問，如“ewebeditor.asp”文件限制11060009阻止異常的請求體類型SQL注入12010091阻止sql進(jìn)行注入攻擊，防參數(shù)中出現(xiàn)單引號SQL注入12010092阻止sql進(jìn)行注入攻擊，防參數(shù)、cookie中的注釋符/*/SQL注入12010093阻止sql進(jìn)行注入攻擊，防參數(shù)、cookie中的注釋符#和關(guān)鍵字102、規(guī)則誤報調(diào)整常見的比較容易誤報的規(guī)則目前WAF規(guī)則常見的誤報規(guī)則如下所示：SQL注入12010093阻止sql進(jìn)行注入攻擊，防參數(shù)中的注釋符-和關(guān)鍵字SQL盲注12020061阻止sql盲注，防|或者以/* */注釋分 割特征串的注入SQL盲注12020062

6、阻止sql盲注，防=+或者以0+0+0“等繞過型SQL盲注跨站腳本攻擊13010046 阻止xss注入攻擊，防類似“跨站腳本攻擊13010061阻止xss注入攻擊，防類似“a href=#nogo onClick跨站腳本攻擊13011069阻止xss注入攻擊，防類似a、abbr等html元素關(guān)鍵字跨站腳本攻擊13011073阻止xss注入攻擊，防background、dynsrc、href、lowsrc、src等關(guān)鍵字跨站腳本攻擊13011074阻止xss注入攻擊，防asfunction、javascript、vbscript、data、mocha、livescript等關(guān)鍵字112、規(guī)則誤報

7、調(diào)整常見的比較容易誤報的規(guī)則目前WAF規(guī)則常見的誤報規(guī)則如下所示：跨站腳本攻擊13011075阻止xss注入攻擊，防類似“alert(XSS); ”的字符串服務(wù)器信息泄露16020001阻止泄露服務(wù)的錯誤信息，防應(yīng)用不存在122、規(guī)則誤報調(diào)整具體方法規(guī)則誤報調(diào)整的具體方案：WAF初始上架策略規(guī)則一開始需要設(shè)置為僅檢測，WAF設(shè)備運行一周左右的時間需要進(jìn)行規(guī)則的調(diào)整，然后將規(guī)則引擎設(shè)置為“啟用”1.可以利用誤判分析功能協(xié)助進(jìn)行規(guī)則的調(diào)整，誤判分析可以根據(jù)一段時間的告警日志進(jìn)行匯總、分析并生成分析結(jié)果2.可以利用自定義報表對一段時間內(nèi)觸發(fā)的規(guī)則號進(jìn)行統(tǒng)計，根據(jù)自定義報表生成的統(tǒng)計結(jié)果進(jìn)行分析，比如

8、統(tǒng)計最近5天的結(jié)果，如果一條規(guī)則5天內(nèi)觸發(fā)了幾十萬條甚至百萬條那么這條規(guī)則誤報的可能性比較大，建議關(guān)閉規(guī)則3.根據(jù)誤判分析和自定義報表調(diào)整完部分規(guī)則之后，如果還出現(xiàn)策略誤報導(dǎo)致業(yè)務(wù)被阻斷的情況則需要根據(jù)實時的告警日志進(jìn)行分析，比如查看攻擊特征串，查看請求頭部和請求內(nèi)容判斷是否屬于誤報。132、規(guī)則誤報調(diào)整誤判分析明御WAF可以自動針對一段時間的告警日志進(jìn)行匯總、分析并生成分析結(jié)果，工程師可以根據(jù)分析結(jié)果進(jìn)行規(guī)制調(diào)整注意：WAF再進(jìn)行誤報分析時盡可能的縮短時間范圍，比如4天或一周，如果時間范圍比較大，告警日志量比較大可能會導(dǎo)致誤判分析一直統(tǒng)計結(jié)果最終統(tǒng)計不出任何結(jié)果142、規(guī)則誤報調(diào)整誤判分析誤

9、判分析分析結(jié)果處理方案：1.結(jié)論中出現(xiàn)少量URL頻繁觸發(fā)可將觸發(fā)的URL添加至該規(guī)則白名單中2.出現(xiàn)較多的URL觸發(fā)該規(guī)則，可將該規(guī)則直接禁用152、規(guī)則誤報調(diào)整自定義報表利用自定義報表對一段時間內(nèi)觸發(fā)的規(guī)則號進(jìn)行統(tǒng)計，根據(jù)自定義報表生成的統(tǒng)計結(jié)果進(jìn)行分析Step 1:選擇“報表”“自定義報表”，目前WAF內(nèi)置多個自定義報表，可以選擇第一個報表類型，然后點擊“查看”按鈕162、規(guī)則誤報調(diào)整自定義報表Step 2:首先選擇時間范圍，可以選擇“最近三天”或者“最近一周”172、規(guī)則誤報調(diào)整自定義報表Step 3:選擇“指定報表類型”只選擇“規(guī)則號”其他不需要選擇，然后點擊“生成報表”按鈕182、規(guī)

10、則誤報調(diào)整自定義報表Step 4:根據(jù)生成的自定義報表查看一段時間內(nèi)每條規(guī)則觸發(fā)的數(shù)量總結(jié)：1.通過自定義報表方式對規(guī)則進(jìn)行調(diào)整，對于一段時間內(nèi)觸發(fā)比較多的規(guī)則可以直接進(jìn)行關(guān)閉，比如一條規(guī)則觸發(fā)幾十萬設(shè)置上百萬，這條規(guī)則誤報性比較大，建議關(guān)閉2.通過自定義報表對規(guī)則調(diào)整的方式，可以關(guān)閉大部分誤報性比較高的規(guī)則，但是可能還有一小部分規(guī)則誤報，針對這種情況只能從告警日志中查詢并找出這條規(guī)則，關(guān)閉規(guī)則或者添加URL白名單192、規(guī)則誤報調(diào)整查詢告警日志根據(jù)誤報分析或者自定義報表對部分規(guī)則調(diào)整完畢之后可能還會存在規(guī)則誤報的問題，則需要根據(jù)告警日志進(jìn)行自定義查詢1.可以根據(jù)客戶端的IP地址，指定時間范圍

11、進(jìn)行告警日志的自定義查詢2.可以根據(jù)被阻斷的URL，指定時間范圍進(jìn)行告警日志的自定義查詢3.找到告警日志之后，可以對觸發(fā)的規(guī)則關(guān)閉或者添加URL白名單203、網(wǎng)絡(luò)防護日志網(wǎng)絡(luò)防護日志主要記錄觸發(fā)智能防護功能以及網(wǎng)絡(luò)防護功能（黑白名單、并發(fā)數(shù)限制、連接頻率限制）的攻擊者，可以記錄攻擊的時間、客戶端IP、服務(wù)器IP等信息。214、CC防護日志CC防護日志是對CC攻擊進(jìn)行防護后產(chǎn)生的日志。CC防護日志記錄的內(nèi)容主要有攻擊時間、攻擊者IP地址、觸發(fā)規(guī)則、動作和被CC攻擊的URL等內(nèi)容，通過CC防護日志能夠更好的協(xié)助管理員及時地了解攻擊行為和攻擊來源。224、CC防護日志被CC攻擊的URL選擇“日志”“

12、CC防護日志”點擊“原因”模塊中“某個URL”就能看到被CC攻擊的URL路徑235、訪問審計日志訪問審計提供用戶查詢歷史訪問日志信息，以便用戶對訪問日志進(jìn)行統(tǒng)計分析?？梢葬槍蛻舳薎P、URL、時間、主機名等選項進(jìn)行查詢。245、訪問審計日志查看完整訪問列表選擇“日志”“訪問審計”“查看完整訪問列表”，完整的訪問列表可以記錄源IP、訪問時間、訪問的URL、返回碼255、訪問審計日志訪問統(tǒng)計訪問統(tǒng)計主要是對每日、每周、每月Web保護站點的訪問流量進(jìn)行日志統(tǒng)計，可以對每日、每天、每月的Web的訪問流量、訪問者的IP（TOP10）、訪問URL（TOP10）、訪問的文件類型等信息進(jìn)行統(tǒng)計。通過這些信息

13、可以有助于管理員更好的了解每日、每周、每月的Web業(yè)務(wù)是否正常。Step 1:選擇“日志”“訪問審計”，用戶根據(jù)實際的需要選擇相應(yīng)的“保護站點”、選擇相應(yīng)的時間段265、訪問審計日志訪問統(tǒng)計Step 2:點擊“重新統(tǒng)計”，即可查看到相應(yīng)的訪問統(tǒng)計日志276、防篡改日志防篡改日志主要記錄的是Web服務(wù)器相關(guān)頁面被篡改的信息。點擊“日志”“防篡改日志”，從中我們可以看到發(fā)生篡改的服務(wù)器，篡改發(fā)生時間，被篡改頁面的URL地址，原文件內(nèi)容，篡改后的文件內(nèi)容。287、IP信譽庫日志W(wǎng)AF內(nèi)置國際公認(rèn)的惡意IP庫，如果有惡意的IP訪問保護的web服務(wù)器就會觸發(fā)IP信譽庫功能并生成告警日志，通過IP信譽庫日志可以查看IP地址及IP所在區(qū)域298、誤判分析WAF可以自動針對一段時間的告警日志進(jìn)行匯總、分析并生成分析結(jié)果，工程師可以根據(jù)分析結(jié)果進(jìn)行規(guī)制調(diào)整308、誤判分析配置Step 1:選擇“日志”“誤判分析”“新分析”，選擇分析的起始時間，選擇的時間范圍盡可能的縮小，按確定按鈕等待一段時間后生成分析結(jié)果（分析時間根據(jù)日志數(shù)量決定）318、誤判分析配置誤判分析分析結(jié)果處理方案：1.結(jié)論中出現(xiàn)少量URL頻繁觸發(fā)可將觸發(fā)的U