Note：本文于1 个月前更新，原帖发布于 2019 年 12 月 6 ，作者： Isaac Noumba F5

本文主题： ASM 、 NGINX WAF 、 安全性

    假设您泡了杯茶，现在想从均匀的混合物中提取单宁酸和咖啡因。您将怎么做？同样，在构建和保护应用时，您将合法违规与误报（具有相似属性的不同物质）混合在了一起，它们都符合 Web 应用防火墙 (WAF) 定义的规则。您将如何进行区分呢？

    在对茶进行脱咖啡因处理之前，让我们回顾一下误报发生的原因以及误报对应用安全造成的威胁。当合法请求被识别为攻击或违规时，就会发生误报。由于 Web 应用非常复杂，因此误报在应用安全领域是一种正常情形。相比触发误报， WAF 漏报（将攻击是做合规流量）将带来更严重的后果。但是对安全专业人员而言，在不影响应用安全的情况下降低误报率仍是一大难题。

高误报率具有以下缺点：

· 阻碍合法流量

· 增加维护负担

· 占用计算机资源

在设计“溶剂”时，还应考虑其他容量和统计因素，例如违规类型、容量和密度。通常需要考虑以下三个因素：  

    -  流量：触发违规的流量（ HTTP 请求 / 响应）有什么特征（来源、目的地、频率、载荷……）？

    -  违规：触发的违规有什么特征（攻击类型、触发规则）？

    -  应用：正在处理请求的应用有什么特征？   

消除误报后，您就可以更正 WAF 配置并监控新的违规行为，然后重复该过程。

工作流程如下所示：

1. 设计“溶剂”。

2. 对网络流量进行采样并记录所有违规行为。

3. 将所有违规导入到“溶剂”中。

4. 使用分析提取或手动提取来消除误报。

5. 使用面向已识别误报的“规则排除”，更正您的 WAF 。

6. 监控网络流量和应用变化。

7. 重复步骤 1 和步骤 6 。

由于每个应用的“溶剂”属性都各不相同，在下一篇文章中，我们将为最热门的应用提供更多“溶剂”属性的示例。