防火墙事件过滤(事件除外)

通过使用事件过滤规则,可以阻止代理向tCell服务报告某些类的App Firewall事件。本质上,这是一种allowlisting,其中你指出特定类型的事件代表你的web应用程序中正常可接受的行为。

具体来说,tCell服务不会自动将已筛选事件的客户端分类为可疑的,并且您不会在tCell控制台中看到这些事件。

从Events查看器中添加筛选规则

我们建议从查看已报告的事件的交互式工作流开始构建排除规则。从事件->应用防火墙监控页,您可以从分组的事件列表中创建规则的路线通过路径,或通过参数.当您在事件表的这些选项卡中的一个时,在左侧列中将有一个蓝色的加号图标,您可以使用它来创建筛选规则。

通过以这种方式开始规则创建过程路线路径,或参数将自动填充到规则创建表单中。

在策略编辑器中直接添加过滤规则

还可以在Policies编辑页面中创建、编辑、查看或删除过滤规则,方法是将左侧列表导航到政策.在这个页面中,选择应用防火墙滚动到Monitor选项卡的底部。

请注意:如果您的tCell应用程序是在2018年之前创建的,那么您可能仍然有一组较老的功能的较老的ui表示,并且可能需要在过滤规则可用之前批准策略更改。

已存在的规则将在这里列出,您可以通过单击+添加链接。

过滤规则元素

描述:描述字段,用来记录关于规则意图的有用信息。

启用:关闭时,规则不生效,但仍会被记录在服务中。

选择条件:对于要筛选的事件类型,规则可以有四种可选选择器类型。

  • 由路径或路由标识的访问点。
  • 客户端通过IP地址。
  • 具体传感器或传感器类型。
  • 字段名、字段类型,或两者兼有。

所有这些都缩小了过滤规则的范围。没有一个是必需的。例如,一个没有选择这些内容的规则将应用于所有App Firewall事件,从而有效地禁用所有App Firewall事件。

对于下面的所有条目,如路由、ip地址、字段,多个条目使用逻辑OR组合在一起。换句话说,列出多条路由或多个ip地址的规则将匹配匹配这些路由或ip地址中的任何一条的事件。

路径或路径

路径选择器可以标识方法、路径或两者的选择。

路径选择器可以匹配所有方法或一个特定的方法(GET、POST等)。如果需要匹配两个或更多特定方法,可以为每个特定方法创建多个Path项。

对于路径组件,可以使用精确的完整路径,或者使用末尾的星号作为路径的开始。

例如/登录只匹配url,这是整个路径节,如http://site:port/login?query.它将不匹配url,如http://site:port/login/access因为路径部分/登录/访问并不完全匹配。
相比之下/静态*将匹配所有以/静态包括静态/ / 34234. jpg图像

可以从已识别的路由列表中选择路由。

IP地址(es)

任何特定的IP地址都可以在这里输入。对于IPv6地址,请确保表示它们的方式与它们在事件查看器中出现的方式相同。

传感器

有些传感器类型只是简单地添加到列表中,没有额外的选择,如异常响应大小。另一些则允许在一个类别中选择特定的传感器,例如SQL注入。

应用程序异常类别适用于SQL异常和CSRF错误。

字段

字段只存在于某些传感器类型。例如,“异常响应大小”没有相关字段。

当使用至少一种与字段无关的传感器时,不能将字段添加到规则中。如果希望将规则应用于一个传感器的特定字段,并应用于另一个传感器的所有情况,则需要多个规则。

可以选择一个字段类型,在这种情况下只匹配该类型的字段,或者不选择任何类型,在这种情况下将匹配特定名称的所有字段。例如,如果你想要匹配AccessToken作为查询参数或body/POST参数,但不是作为cookie或header,对于这两种字段类型,您将在Fields选择中需要两个条目。

需要特别注意的是,表单编码的post参数和json body参数的检测方法是相同的。