【WG】WG动态攻击黑名单

发布时间: 2013-09-19 点击量:726 打印 字体:

应用场景

开启动态攻击黑名单后,WG会自动将发起攻击的IP地址加入黑名单,后续该地址再想访问WG保护的服务器,访问将会直接被阻断,从而更好的保护服务器。

 

功能原理

1、在WG网关上启用动态攻击黑名单功能后,如果源IP对WEB服务器的访问匹配基本特征库中SQL注入攻击或木马攻击的特征,并且动作包含“block”,则WG自动将该源IP加入动态攻击黑名单,禁止其访问所有受保护的WEB服务器。并且提供自动解禁时间,不需要任何人工的操作,大大方便了管理员的维护与管理。

        2、可以配置特例IP地址,设定后哪怕系统检测到该IP对服务器有攻击行为,也不会禁止其访问WEB服务器。

 

一、组网需求

基本特征库已经启用,并且动作为阻止并记日志,要求WG在检测到IP存在SQL注入或木马攻击攻击行为时,自动将该IP的所有访问阻断,一段时间后该IP的禁止访问自动解锁。

 

二、配置步骤

1、进入菜单 黑名单/白名单 > 动态攻击黑名单:

      

勾选在攻击日志中记录事件并点击应用按钮后,系统将在攻击日志中记录匹配客户端黑名单的访问事件

2、如果需要配置特例IP地址,设定后哪怕系统检测到该IP对服务器有攻击行为,也不会禁止其访问WEB服务器,则在上图中将该IP加入:

      

 

注意:如果要添加的特例IP为某个具体的IP地址,则掩码要写成32位,不能写成网段掩码位数,否则整个网段都将被设置为特例用户,不做安全检查。

         RG-WG 黑白名单按照以下顺序来匹配,匹配成功则停止向下检查:

(1)客户端黑名单

(2)动态攻击黑名单

(3)客户端白名单

(4)服务器白名单

(5)服务器安全组URL 黑名单

(6)服务器安全组URL 白名单

三、配置验证

1、被加入动态攻击黑名单的IP,访问服务器时将返回空白页面,同时在WG的黑名单/白名单 > 动态攻击黑名单,可以看到该IP存在于黑名单列表中,并且可以查看加入时间:

      

2、如果开启攻击日志中记录事件,可以在攻击日志中搜索如下攻击类型进行查看:

      

 

 

00 分享 纠错
相关条目