(一)、学习模式选择
1,学习模式建议使用手动,总的来说就是机器是死的,他只能根据既定的规则运行。只有人才知道什么是正常请求,什么不是。
举个很简单例子,假如在开启学习模式时候,有黑客攻击,F5可能会把他认为是正常请求。
(二)、学习时间
1,截图
这个时间不是策略建立时间开始算的,是单个策略的时间,每个策略的时间都是单独计算的。
当天的晚上的23:59:59-到七天后的23:59:59
(三)、wildcard 也就是entity里面的*号
根据官方建议,当把ASM Policy建设完成后,需要删除Wildcard。
删除*号:
这里的意思是只允许php这类型的通过,而且php要符合那四个长度限制。
同时不学习新的类型,假如应用变更了,新增了jpg的 file type,那么就会阻断,这时候要把*号重新挂上去,再学习一次。
不删除*号: