首页 >服务与支持 >常见问题 >【WG】WG动态攻击黑名单
发布时间:2013-09-19
点击量:3024应用场景
开启动态攻击黑名单后,WG会自动将发起攻击的IP地址加入黑名单,后续该地址再想访问WG保护的服务器,访问将会直接被阻断,从而更好的保护服务器。
功能原理
1、在WG网关上启用动态攻击黑名单功能后,如果源IP对WEB服务器的访问匹配基本特征库中SQL注入攻击或木马攻击的特征,并且动作包含“block”,则WG自动将该源IP加入动态攻击黑名单,禁止其访问所有受保护的WEB服务器。并且提供自动解禁时间,不需要任何人工的操作,大大方便了管理员的维护与管理。
2、可以配置特例IP地址,设定后哪怕系统检测到该IP对服务器有攻击行为,也不会禁止其访问WEB服务器。
一、组网需求
基本特征库已经启用,并且动作为阻止并记日志,要求WG在检测到IP存在SQL注入或木马攻击攻击行为时,自动将该IP的所有访问阻断,一段时间后该IP的禁止访问自动解锁。
二、配置步骤
1、进入菜单 黑名单/白名单 > 动态攻击黑名单:
勾选“在攻击日志中记录事件”并点击“应用”按钮后,系统将在攻击日志中记录匹配客户端黑名单的访问事件
2、如果需要配置特例IP地址,设定后哪怕系统检测到该IP对服务器有攻击行为,也不会禁止其访问WEB服务器,则在上图中将该IP加入:
注意:如果要添加的特例IP为某个具体的IP地址,则掩码要写成32位,不能写成网段掩码位数,否则整个网段都将被设置为特例用户,不做安全检查。
RG-WG 黑白名单按照以下顺序来匹配,匹配成功则停止向下检查:
(1)客户端黑名单
(2)动态攻击黑名单
(3)客户端白名单
(4)服务器白名单
(5)服务器安全组URL 黑名单
(6)服务器安全组URL 白名单
三、配置验证
1、被加入动态攻击黑名单的IP,访问服务器时将返回空白页面,同时在WG的黑名单/白名单 > 动态攻击黑名单,可以看到该IP存在于黑名单列表中,并且可以查看加入时间:
2、如果开启攻击日志中记录事件,可以在攻击日志中搜索如下攻击类型进行查看:
文档评价
