交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
应用场景
启用Cookie白名单后,WG仍然对会HTTP数据中的Cookie字段进行扫描,命中白名单的Cookie将会自动放行,不做任何处理,提供了一种可定制化访问服务器的功能。
功能原理
了解Cookie:
Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。
Cookies最典型的应用是判定注册用户是否已经登录网站,用户可能会得到提示,是否在下一次进入此网站时保留用户信息以便简化登录手续,这些都是Cookies的功用。
攻击者能够通过非法执行脚本或跨站攻击等手段,通过在表单提交或 URL 参数中插入JavaScript语句,这样可实现自动发送 Cookie到攻击者的服务器上,从而使攻击者有机会获得 Cookie 内容、篡改 Cookie 内容,而且还可能利用获得的 Cookie 进行劫持假冒,从而达到金融欺诈、身份和数据盗窃等目的。
Cookie白名单实现:
对于添加到WG的Cookie白名单中的Cookie名称,如果客户端提交的Cookie中包含此变量名称,则即使是cookie内容中出现了SQL注入攻击、跨站脚本攻击、命令注入攻击所定义的恶意特征码,也不会被认为是恶意攻击。
需要注意的是,对于添加到Cookie白名单中的Cookie,WG依然会对其进行Cookie安全认证。
Cookie白名单一般用于解决对于已知漏洞的页面用户不想修改,又想临时访问的问题,但添加Cookie白名单需要对用户的网站及Cookie内容非常熟悉。
一、组网需求
对某个Cookie内容完全信任,不需要执行安全检查。
二、配置要点
1、添加服务器安全组,在服务器列表中添加需要保护的服务器地址及对应的端口;
说明:
只有加到服务器安全组中的IP的端口才会被WG保护,如果服务器需要保护的端口未加全,则这部分端口对应的网站还是会被攻击。
设备使用反向代理方式接入时,服务器安全组配置时,要将反向代理服务器IP地址和服务器实际IP地址均加入服务器列表中。
说明:策略建立时,还不能设置具体的URL。
2、勾选启用Cookie白名单;
3、选择其他安全功能,并选择需要使用的URL安全策略,单击“应用”配置生效。
4、重新点编辑进入此服务器安全组,配置具体的Cookie白名单内容。
三、配置步骤
1、添加服务器安全组,在服务器列表中添加需要保护的服务器地址及对应的端口;
(1) 进入菜单 Web安全 > 服务器安全组,选择添加:
说明:服务器安全组的匹配顺序是从上往下,如果此服务器安全组和安全策略中有多个条目,则最上面的条目最优先匹配,而且匹配中之后,不会继续往下匹配其他的服务器安全组。
(2)在服务器列表中,输入要保护的服务器及其端口,单击“添加”后加入列表,如下图:
说明:
必须要单击"添加"才会把服务器加到服务器列表里。
由于一次只能添加一个HTTP或者HTTPS端口,如果同一台服务器有多个端口需要保护,需要添加多次。
2、将页面往下拉,可以看到"启用Cookie白名单",勾选 开启;
3、选择其他安全功能,并选择需要使用的URL安全策略,单击“应用”配置生效。
4、重新点编辑进入此服务器安全组,配置具体的Cookie白名单内容。
(1)找到Cookie白名单,单击“配置”:
(2)添加需要完全放通的Cookie到Cookie白名单中:
四、配置验证
使用Cookie白名单不会在设备上留下攻击日志记录。