交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
故障现象:WG工作桥模式,串接链路。 用户新开一个网站,访问url为:http://210.27.x.x/emlib4/format/release/aspx/EML_HIGHTSEARCH.aspx? WG认为该网页的访问方式为SQL攻击行为,将客户端加入动态攻击黑名单,导致该用户无法访问该网页。
说明:当动态攻击黑名单功能开启后, IP对WEB服务器的访问匹配基本特征库中“SQL注入攻击”或“木马攻击”的特征,并且动作包含“block”时自动将该IP添加到动态攻击黑名单;
故障分析:
1)确认URL策略,开启基本特征库,动作阻止并日志,未开启自定义SQL自定义关键字;
2)排查攻击日志,发现访问该网站中的某个URL时触发了SQL注入的攻击,URL:210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx
日志信息:
2011-01-19 09:00:46 210.27.8.1 210.27.8.2 POST http 210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx SQL Injection Post Form block_log
3)访问该URL时,进行POST动作,查看POST中数据,提交的为一句SQL语句;
根据以上信息可确认:由于该网站应用程序需要使用SQL语句来传递相关信息,提交SQL语句为基本特征库所不允许的,此行为为高危动作,所以在动作为block的情况下,该访问时被阻止同时源IP加入动态攻击黑名单。
解决方案一:
将URL:210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx 添加为URL白名单;
该方案保证了该网站的其它URL的安全防护,但该URL的安全性降低;
解决方案二:
1)新建URL安全策略,该安全策略的基本特征库动作为仅日志或不启用;
2)高级可选操作:启用自定义SQL注入关键字过滤,并配置update,insert, drop,rename等可能对数据库进行修改删除操作的词用为SQL注入禁用词(其它默认关键词不要启用);
3)在相应的服务器安全组里,配置URL安全策略的“例外规则”,在例外规则中,指定对于以下URL路径启用上面新建的URL安全策略:210.27.x.x/emlib4/system/DataSource
该方案保证了网站所有的URL的安全防护,但如启用SQL自定义关键字,需和用户做好沟通,避免网站可能所用的SQL关键字出现在阻止列表中。