提升WAF可見性：透過載荷日誌記錄了解攻擊防護

2025-11-24 Paschal Obba

隨著網路攻擊面積的擴大，Cloudflare的Web應用防火牆（WAF）為我們的客戶提供了多種解決方案來抵禦這些攻擊。由於我們處理的請求量龐大，產生誤報是不可避免的，因此我們為客戶設定的默認配置需要進行細緻調整。

調整設置的重要性

調整配置並不是一個不透明的過程：客戶需要獲取數據點，然後決定最適合他們的策略。本文將解釋我們提供的技術，這些技術可以幫助客戶理解WAF採取特定行動的原因，以及我們為減少噪音、提高信號所做的改進。

日誌動作的優勢與限制

Cloudflare的WAF保護源伺服器免受各類第七層攻擊，這些攻擊針對的是應用層。WAF利用多種工具提供保護，例如：

• 管理規則：由Cloudflare的安全分析師撰寫，針對常見漏洞和暴露（CVE）、OWASP安全風險及漏洞如Log4Shell。
• 自訂規則：客戶可以使用規則語言撰寫規則。
• 速率限制規則、惡意上傳檢測、洩露憑證檢測等。

這些工具建立在規則集引擎之上，當有規則表達式匹配時，該引擎執行某個動作。日誌動作用於模擬規則的行為，證明規則表達式被引擎匹配並產生日誌事件，這些事件可以通過安全分析、安全事件、Logpush或Edge Log Delivery訪問。

載荷日誌的作用

載荷日誌是一項功能，記錄與WAF採取行動相關的請求欄位，減少模糊性並提供有用信息，有助於檢查誤報，保證準確性，並協助調整這些規則以提升性能。

如何運作？

載荷日誌可以幫助我們深入了解特定欄位及其各自的值，經過轉換後，在規則中導致匹配的條件。例如，在一個表達式中，載荷日誌條目將包含左側或右側的表達式，但不會同時記錄兩者。

這種功能的整合有助於客戶更精確地調整WAF的設置，從而在應對各種網路攻擊時保持高效的防護水準。