防火墙事件过滤(事件除外)

通过使用事件过滤规则，可以阻止代理向tCell服务报告某些类的App Firewall事件。本质上，这是一种allowlisting，其中你指出特定类型的事件代表你的web应用程序中正常可接受的行为。

具体来说，tCell服务不会自动将已筛选事件的客户端分类为可疑的，并且您不会在tCell控制台中看到这些事件。

从Events查看器中添加筛选规则

我们建议从查看已报告的事件的交互式工作流开始构建排除规则。从事件->应用防火墙监控页，您可以从分组的事件列表中创建规则的路线，通过路径,或通过参数．当您在事件表的这些选项卡中的一个时，在左侧列中将有一个蓝色的加号图标，您可以使用它来创建筛选规则。

通过以这种方式开始规则创建过程路线，路径,或参数将自动填充到规则创建表单中。

在策略编辑器中直接添加过滤规则

还可以在Policies编辑页面中创建、编辑、查看或删除过滤规则，方法是将左侧列表导航到政策．在这个页面中，选择应用防火墙滚动到Monitor选项卡的底部。

请注意:如果您的tCell应用程序是在2018年之前创建的，那么您可能仍然有一组较老的功能的较老的ui表示，并且可能需要在过滤规则可用之前批准策略更改。

已存在的规则将在这里列出，您可以通过单击+添加链接。

过滤规则元素

描述:描述字段，用来记录关于规则意图的有用信息。

启用:关闭时，规则不生效，但仍会被记录在服务中。

选择条件:对于要筛选的事件类型，规则可以有四种可选选择器类型。

• 由路径或路由标识的访问点。
• 客户端通过IP地址。
• 具体传感器或传感器类型。
• 字段名、字段类型，或两者兼有。

所有这些都缩小了过滤规则的范围。没有一个是必需的。例如，一个没有选择这些内容的规则将应用于所有App Firewall事件，从而有效地禁用所有App Firewall事件。

对于下面的所有条目，如路由、ip地址、字段，多个条目使用逻辑OR组合在一起。换句话说，列出多条路由或多个ip地址的规则将匹配匹配这些路由或ip地址中的任何一条的事件。

路径或路径

路径选择器可以标识方法、路径或两者的选择。

路径选择器可以匹配所有方法或一个特定的方法(GET、POST等)。如果需要匹配两个或更多特定方法，可以为每个特定方法创建多个Path项。

对于路径组件，可以使用精确的完整路径，或者使用末尾的星号作为路径的开始。

例如/登录只匹配url，这是整个路径节，如http://site:port/login?query．它将不匹配url，如http://site:port/login/access因为路径部分/登录/访问并不完全匹配。
相比之下/静态*将匹配所有以/静态包括静态/ / 34234. jpg图像．

可以从已识别的路由列表中选择路由。

IP地址(es)

任何特定的IP地址都可以在这里输入。对于IPv6地址，请确保表示它们的方式与它们在事件查看器中出现的方式相同。

传感器

有些传感器类型只是简单地添加到列表中，没有额外的选择，如异常响应大小。另一些则允许在一个类别中选择特定的传感器，例如SQL注入。

应用程序异常类别适用于SQL异常和CSRF错误。

字段

字段只存在于某些传感器类型。例如，“异常响应大小”没有相关字段。

当使用至少一种与字段无关的传感器时，不能将字段添加到规则中。如果希望将规则应用于一个传感器的特定字段，并应用于另一个传感器的所有情况，则需要多个规则。

可以选择一个字段类型，在这种情况下只匹配该类型的字段，或者不选择任何类型，在这种情况下将匹配特定名称的所有字段。例如，如果你想要匹配AccessToken作为查询参数或body/POST参数，但不是作为cookie或header，对于这两种字段类型，您将在Fields选择中需要两个条目。

需要特别注意的是，表单编码的post参数和json body参数的检测方法是相同的。