例外是一种调整 WAF 策略以与应用程序一起使用的常见方法。以下部分列出了创建例外的常见用例。此外,还介绍了如何配置例外、建议的工作流,以及可作为其中一部分配置的匹配元素和 XML 例外。

这些例外在应用程序的常规流量与特定 WAF 规则匹配时创建。以下是创建例外的一些其他原因:

  • 缓解误报。

  • 应用程序传输的数据可能看起来像攻击。例如,在查询参数中传输 HTML 内容。

  • 应用程序具有在 WAF 策略中不允许的特殊要求。例如,使用应用程序 IP 地址访问应用程序。

  • 您可以使用 NSX Advanced Load Balancer 建议系统创建例外或手动添加例外。有关更多信息,请参阅访问建议

要手动定义例外,请执行以下操作。

  • 单击 +添加例外以手动配置例外。

  • 为 IP 地址或子网、路径或任何匹配元素配置例外。例如,

Subnet- 10.0.0.0/8, Path- /application , Match Element - REQUEST_BODY

  • 根据需要,为路径和匹配元素配置以下选项:

    • 区分大小写 - 字符的大小写必须匹配。

    • 正则表达式匹配 - 字符串模式必须匹配。

注:

可以在 CRS 组级别或规则级别创建例外。

配置了例外“路径 - /application”的规则如下所示:



支持的匹配元素

可以为以下匹配元素创建例外:

ARGS、ARGS_GET、ARGS_POST、ARGS_NAMES、FILESQUERY_STRING、REQUEST_BASENAME、REQUEST_BODY、REQUEST_URI、REQUEST_URI_RAW、REQUEST_COOKIES、REQUEST_HEADERS、RESPONSE_HEADERS、XML。

例如,如果在 WAF 规则级别创建 ARGS:password 例外,这意味着该规则不会检查 password HTTP 参数(在 URL 或请求正文中发送 - 以 JSON、XML 或 HTML 形式)。该规则将继续检查 HTTP 请求中未指定为例外的其他部分。