管理类
最近更新时间: 2022-07-14 08:21:55

什么情况下产品会误拦截 

1)网站代码不规范导致拦截当网站代码不规范时,可能会因为触发防护策略而产生被拦截情况,云 WAF 启用了实时更新的恶意威胁规则集,针对 Webshell 上传、SQL 注入、XSS 等常见的 Web 攻击行为特征(如 ini_set(、=javascript:)进行检测。同时会将请求中部分直接传递的原始 SQL 语句、JAVASCRIPT 代码判定为潜在的安全风险,进行封禁。此外,URL 中含有敏感路径(如 /root、/temp、/admin),以及可能导致路径遍历的特殊字符(如../、.%5c../)也会被判定为高危访问进行封禁,因此,规范的网站代码编写会大幅减少被拦截的概率。 

2)网站接口数据传输规则导致拦截 网站存在接口的情况下,当产生调用时,因该行为非人工访问行为,可能会被云 WAF 判定为非浏览器或程序化访问,从而产生拦截,此情况下需要将发起接口调用的源地址加白名单解决。 

3)用户端行为疑似人工 DDoS 攻击导致拦截 用户频繁点击某一个 URL,或者频繁下载同一个文件等行为,均可能会被判定为 DDoS 攻击,进而会产生拦截。此种情况下,须由用户确认是否正常操作后,加入 CC 防护白名单。 

4)国际流量整体拦截 云 WAF 支持针对 IP 地址的国家地理位置限制,当开启该限制后,国际流量将被阻断,只有国内流量才能通过。该策略主要用户客户的网站使用对象全部为国内的情况下,可以避免来自国际的各类攻击、渗透行为。

如何放行云 WAF 回源 IP 段? 

打开源站服务器上的安全软件与访问控制安全组,根据防护开通的所属数据中心中心将云 WAF 平台回源 IP 地址段(内蒙数据中心:36.111.137.0/24 与 203.57.157.0/24,北京数据中心:203.34.106.0/24,上海数据中心:101.226.7.0/24,广州数据中心:203.32.204.0/24)添加到白名单。 

CNAME 记录,多长时间可以生效? 

这取决于您在当前的域名服务提供商设置的域名记录超时时间,以及当前域名服务提供商 NS记录刷新的时间。一般情况,NS 记录的刷新一般不会超过 48 小时。 

CNAME 解析变更提示冲突怎么办? 

对于同一个主机记录,CNAME 解析记录值只能填写一个。不同 DNS 解析记录类型间存在冲突。例如,对于同一个主机记录,CNAME 记录与 A 记录、MX 记录、TXT 记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的 CNAME 记录。 

修改 CNAME 后发现界面有拦截信息 

根据拦截页面的联系方式联系电信 7*24 小时值班人员处理或者微信沟通群(提供拦截截图及相关 ID 信息)。 

修改 CNAME 后发现访问变慢 

需工程师抓包查看从发送请求到接收响应时间差;客户侧同时抓包查看接收请求到发送响应时间差,对比分析排查访问延迟出现的问题原因。 

修改 CNAME 后发现网站无法访问 

1)域名解析有问题,访客清除 DNS 缓存或者修改 DNS 解决; 

2)SYN 重传或 request 重传,需确认 web 应用防火墙发送的 SYN 客户侧是否有接收到。客户侧协助抓 包定位是否接收到 SYN 并且响应 SYN ACK。 

源站服务器侧响应异常怎么办? 

若是源站服务器侧直接响应回复的异常信息,云 WAF 拦截导致的访问异常是不会有服务器侧的响应的,类似“请勿重复提交”“上传失败”这样的弹窗应属于服务器响应,不是云 WAF 拦截导致的,如这样大规模的访问异常需要排查一下应用服务器的工作状态(例如进程、CPU、内存、Web 日志等)是否存在异常并修复异常。 

验证WAF是否可以防御自动化工具发起的攻击?

满足,但是需要厂家配合测试。