防火墙事件过滤(事件除外)
通过使用事件过滤规则,可以阻止代理向tCell服务报告某些类的App Firewall事件。本质上,这是一种allowlisting,其中你指出特定类型的事件代表你的web应用程序中正常可接受的行为。
具体来说,tCell服务不会自动将已筛选事件的客户端分类为可疑的,并且您不会在tCell控制台中看到这些事件。
从Events查看器中添加筛选规则
我们建议从查看已报告的事件的交互式工作流开始构建排除规则。从事件->应用防火墙监控页,您可以从分组的事件列表中创建规则的路线,通过路径,或通过参数.当您在事件表的这些选项卡中的一个时,在左侧列中将有一个蓝色的加号图标,您可以使用它来创建筛选规则。
通过以这种方式开始规则创建过程路线,路径,或参数将自动填充到规则创建表单中。
在策略编辑器中直接添加过滤规则
还可以在Policies编辑页面中创建、编辑、查看或删除过滤规则,方法是将左侧列表导航到政策.在这个页面中,选择应用防火墙滚动到Monitor选项卡的底部。
请注意:如果您的tCell应用程序是在2018年之前创建的,那么您可能仍然有一组较老的功能的较老的ui表示,并且可能需要在过滤规则可用之前批准策略更改。
已存在的规则将在这里列出,您可以通过单击+添加链接。
过滤规则元素
描述:描述字段,用来记录关于规则意图的有用信息。
启用:关闭时,规则不生效,但仍会被记录在服务中。
选择条件:对于要筛选的事件类型,规则可以有四种可选选择器类型。
- 由路径或路由标识的访问点。
- 客户端通过IP地址。
- 具体传感器或传感器类型。
- 字段名、字段类型,或两者兼有。
所有这些都缩小了过滤规则的范围。没有一个是必需的。例如,一个没有选择这些内容的规则将应用于所有App Firewall事件,从而有效地禁用所有App Firewall事件。
对于下面的所有条目,如路由、ip地址、字段,多个条目使用逻辑OR组合在一起。换句话说,列出多条路由或多个ip地址的规则将匹配匹配这些路由或ip地址中的任何一条的事件。
路径或路径
路径选择器可以标识方法、路径或两者的选择。
路径选择器可以匹配所有方法或一个特定的方法(GET、POST等)。如果需要匹配两个或更多特定方法,可以为每个特定方法创建多个Path项。
对于路径组件,可以使用精确的完整路径,或者使用末尾的星号作为路径的开始。
例如/登录只匹配url,这是整个路径节,如http://site:port/login?query
.它将不匹配url,如http://site:port/login/access
因为路径部分/登录/访问
并不完全匹配。
相比之下/静态*
将匹配所有以/静态
包括静态/ / 34234. jpg图像
.
可以从已识别的路由列表中选择路由。
IP地址(es)
任何特定的IP地址都可以在这里输入。对于IPv6地址,请确保表示它们的方式与它们在事件查看器中出现的方式相同。
传感器
有些传感器类型只是简单地添加到列表中,没有额外的选择,如异常响应大小。另一些则允许在一个类别中选择特定的传感器,例如SQL注入。
应用程序异常类别适用于SQL异常和CSRF错误。
字段
字段只存在于某些传感器类型。例如,“异常响应大小”没有相关字段。
当使用至少一种与字段无关的传感器时,不能将字段添加到规则中。如果希望将规则应用于一个传感器的特定字段,并应用于另一个传感器的所有情况,则需要多个规则。
可以选择一个字段类型,在这种情况下只匹配该类型的字段,或者不选择任何类型,在这种情况下将匹配特定名称的所有字段。例如,如果你想要匹配AccessToken
作为查询参数或body/POST参数,但不是作为cookie或header,对于这两种字段类型,您将在Fields选择中需要两个条目。
需要特别注意的是,表单编码的post参数和json body参数的检测方法是相同的。