客户现网部署了一台waf,客户设置了自定义规则,检测字段是请求URL关键字,动作为阻断,应用到4个规则组下,防护事件中看到没有被阻断,动作为告警,后来让客户在规则组下将规则引擎启用,客户表示点击启用之后,防护事件中阻断的信息增加特别多,但是客户只想阻断自定义规则,不想阻断规则组中包含的默认规则,且需要发出告警,如果将默认的规则关闭,那就无法检测到并发出告警。
根据问题现象描述,当启用规则组后,阻断信息非常多是因为默认规则中有一些是做了阻断的,客户现网中的流量匹配了默认的一些规则然后也被阻断,如果想要实现客户需求,自定义的规则进行阻断,预定义的规则只告警,需要在应用层访问控制里面自定义规则实现阻断,站点调用的规则组设置为仅检测即可。
自定义应用层访问控制规则,匹配客户需要的关键字,动作设置为阻断。
应用层访问控制中的阻断,暂不能生成日志。