ModSecurity拦截后跳转到指定的提示页面

配置好web防火墙ModSecurity，正常工作被拦截时默认时返回设定的错误（404,503等）如果网站存在404页面还是挺友好的，如果没有设置404页面，对于普通用户来说就是直接看到一个404错误空白页面。

而普通网站错误页又跟被防火墙拦截下来又不同一种情况，有时候我们需要当被拦截时跳转至特定一个页面，用于提示访问已经触发拦截规则。

被ModSecurity拦截需要配置如下：

需要修改crs-setup.conf 文件

vi /www/server/nginx/conf/owasp-modsecurity-crs/crs-setup.conf

ModSecurity拦截后跳转到指定页面，需要使用”redirect”指令。

SecRule REQUEST_HEADERS:User-Agent "Test""phase:1,id:130,log,redirect:http://www.modsecurity.cn/practice/intercept.html"

上述规则表示，当此次访问的请求头的User-Agent属性的值含有”Test”时，将此次访问跳转至http://www.modsecurity.cn/practice/intercept.html，效果如下图所示：

此时存在一个问题，如果要所有规则都跳转到指定的页面，那就需要将所有的规则都进行修改，工作量巨大，此时，我们可以使用”SecDefaultAction”指令，配置所有规则的默认拦截动作，如下图所示：

SecDefaultAction "phase:1,deny,log,status:302,redirect:http://www.modsecurity.cn/practice/intercept.html"

至此，所以使用”block”作为拦截动作的规则，一旦触发拦截，都将跳转至http://www.modsecurity.cn/practice/intercept.html页面。

但此时，尽管我们知道了此次请求无法正常进行是被拦截导致的，但如果是误拦截的话，对于运维人员仍要去检查被拦截的URL是什么，而相应的，我们依然可以通过一些配置来减少此工作量，对此我们最终需要以下规则（规则需复制进crs-setup.conf文件中）：

SecDefaultAction "phase:1,deny,log,noauditlog,status:302,redirect:http://www.modsecurity.cn/practice/intercept.html?url=%{REQUEST_FILENAME}&intercept_domain=%{request_headers.host}"

该规则表示定义全局的拦截动作，当触发拦截时，跳转指定的URL地址，并将相应的参数传递过去；
最终显示效果如下：

如果使用SecDefaultAction指令进行全局的拦截配置的话，其他规则的阻断性动作需要配置为block，block的作用在于阻止访问，但不指定阻止的具体执行方式，这个想法是为了让使用者可以自定义阻断后执行哪些操作，如使用SecDefaultAction指令。

deny、drop虽然也代表了阻止访问，但deny不会触发SecDefaultAction指令的默认配置，而是执行当前规则中指定的拦截方式，drop表示直接关闭TCP连接，不会向客户端返回任何内容。