Core Rule Set项目中针对IP地址Host头的规则排除实践

问题背景

在Web应用安全防护中，OWASP Core Rule Set(CRS)作为ModSecurity的规则集合，提供了强大的防护能力。其中规则920350用于检测Host头是否为数字IP地址，这是一种常见的安全检查，因为正常的Web请求通常使用域名而非直接IP地址访问。

场景分析

在实际生产环境中，特别是使用AWS ALB(应用负载均衡器)架构时，内部服务间通信可能会直接使用IP地址作为Host头。这种情况下，规则920350会产生大量误报(false positive)，影响正常业务流量。

解决方案

针对这种场景，可以通过编写排除规则(exception rule)来允许特定IP范围的请求通过。以下是推荐的排除规则配置方法：

单IP范围排除

SecRule REMOTE_ADDR "@ipMatch 172.31.32.0/20" \
    "id:1001, \
    phase:1, \
    pass, \
    nolog, \
    ctl:ruleRemoveById=920350"

多IP范围合并排除

更高效的写法是将多个IP范围合并到一个规则中：

SecRule REMOTE_ADDR "@ipMatch 172.31.32.0/20 172.31.16.0/20 172.31.0.0/20" \
    "id:1001, \
    phase:1, \
    pass, \
    nolog, \
    ctl:ruleRemoveById=920350"

配置位置

正确的配置文件位置是： /etc/modsecurity/crs/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf

这个文件专门用于放置需要在CRS规则执行前生效的排除规则，确保排除操作在原始规则检查前完成。

安全建议

1. 排除规则应尽可能精确指定IP范围，避免过度放宽
2. 为每个排除规则设置唯一的ID便于管理
3. 生产环境变更前应在测试环境充分验证
4. 定期审查排除规则的必要性

通过这种配置方式，可以在保证安全性的同时，确保业务流量的正常通行，实现安全与可用性的平衡。