Lorna0
Lorna0
> Bug1.系统升级到5.0.0,发现对nginx.conf配置文件的更改恢复到了默认,造成有些配置失效。 nginx.conf 肯定是优先保证控制台界面的操作正常,否则可能造成不可预料的故障。有自定义需求需要在我们特地留出的位置修改,初次之外的部分每次重置是符合预期的。 > Bug2.默认情况下,include /etc/nginx/custom_params/backend_XX; 是在 location ^~ / { 内,但是有些网站需要把include /etc/nginx/custom_params/backend_XX; 放到location ^~ / { 的上面。手动放到上面后,如果从界面上对该防护的站点进行编辑,配置文件会恢复默认,造成网站访问错误。 同上这个是预期的。可以提交一个建议。btw 为啥需要这样修改?有什么差异么
duplicate: * https://github.com/chaitin/SafeLine/issues/612 目前主要是没找到合适的库。 关于规则中的国家地区问题,我们会考虑一下如何进行提示。
能具体分享下, waf 上识别 ja3 指纹,对防护或者业务有啥好处么
> 现在增加的几个选项,我觉得还是有点死了。 如果选择了取上上级,在XFF是ip1,ip2的情况下能正常取到ip1,但是如果XFF只有ip1的情况下无法解析到上上级是只能取socket ip。 > > 建议能不能增加一个取最左侧IP的选项或者在取不到设定的几级IP时向右兼容比如上述情况时直接取ip1 ? > > 我知道长亭是安全出身的,对这个东西很敏感,但是还是有很多CDN并不是按照规范做事,希望还是能够给予用户选择的权利。 没理解,如果XFF只有ip1,为什么不直接选取上级呢。 如果 waf 前面的代理情况是混杂的,一部分有 1 级代理,一部分有 2 级代理,那么并不适合使用这种按可信数量配置的方法。如果继续向右取的话,仍然存在安全风险。可以参考:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Forwarded-For#selecting_an_ip_address
5.4.0 版本支持了取 XFF 中上三级代理的地址,也即从 XFF 中排除可信代理数量的取法:  这个 issue 可以算阶段性结束了,感谢师傅们花时间参与讨论和分享自己的使用情况。当然,XFF 的解析方法有很多,也有很多细节需求,目前我们只是做了一个平衡安全性、易用性和产品简洁度的解法,如果大家还有其他想法的话,可以再提个具体的 issue,方便集中意见讨论和跟进。
看你的具体场景,感觉和这个其实是类似需求: * https://github.com/chaitin/SafeLine/issues/105
补充规则目前确实不支持修改,有在考虑支持,就不再这个 bug 内讨论了。 站点观察后,补充规则仍然拦截,这个确实是不期望的,会尽快修复。
在 5.6.2 中修复了已知的观察模式下补充规则依然防护的问题,可以验证一下。
由于 issue 列表无法判断评论内容,回复 “+1” 其实并不能体现 issue 的受欢迎程度,反而容易把讨论内容刷掉,变成单纯的水内容。建议大家点击 issue 的 👍 来表示支持,感谢。
内外网的防护需求差异确实比较大,建议考虑一下从网络设计上区分开两者。例如内网用户也统一通过外网入口访问,加白状态监控、漏洞扫描等设备,或者直接阻断内网通道。