当我们时候PB来自动学习策略的时候,PB设置会有
在 多久时间之内 学到 多少个IP来的请求,其英文是:
X different IPs, spread out over a time period of at least Y hours
然后PB 会在status中显示学习到的各个对象,比如学到一个js对象,在该对象的“untrust” 信息页面会有类似如下的提示:
注意这里的IP数量,假设一个物理客户端发起了很多请求,并伪造了很多随机的XFF header值,并且ASM当前配置为使用XFF,并不是说ASM就很傻的在很短时间之内就将该对象认为是legitimate。 这里的实际含义是:
(Y hours*60 minutes)/X ips
例如0.5小时, 那么计算后是 3 分钟。 ASM 将会在3分钟之内只记一个IP。
如果请求不是每3分钟来一个,那么30分钟内这个地方就无法达到 10 个IP的阀值, 所以PB 设置里才会有 “but not exceeding ” 一项。
文章评论