Dette afsnit viser alle tilgængelige indstillinger for det aktuelle WAF-regelsæt, organiseret i tre faner: Global, Reglerog Gårde. Husk at klikke på Ansøg knappen for at gemme eventuelle ændringer.
Globale indstillinger WAF-regelsæt #
Denne konfiguration styrer adfærden for alle regler indeholdt i sættet.
Navn. En etiket, der let identificerer en regel. Det navn, du vælger til dit regelsæt, kan ikke ændres.
Tjek forespørgselslegeme. Et flag, der bestemmer, om kroppen af HTTP-anmodninger analyseres. Hvis den er deaktiveret, vil brødteksten blive sprunget over, og regelmatches mod forespørgselstekstparametre vil ikke blive behandlet.
Anmod om kropsgrænse. Det maksimale antal bytes for anmodningsteksten gemt til inspektion. Hvis indstillet til 0, gemmer WAF indholdslængdestørrelsen fuldstændigt. Det anbefales at sætte en grænse.
Tjek svarlegeme. Et flag, der bestemmer, om kroppen af HTTP-svar analyseres. Hvis den er deaktiveret, vil brødteksten blive sprunget over, og regelmatches mod parametre for svarlegemet vil ikke blive behandlet. Svar større end 524288 bytes (512KB) vil blive ignoreret.
Standard handling. Standardopløsningen, når der ikke er angivet nogen opløsning i en regel. Her er de mulige handlinger.
- Tillad. WAF fortsætter med at behandle, indtil HTTP-transaktionen er fuldført.
- Pass. WAF vil evaluere den næste regel uden at afbryde HTTP-transaktionen.
- Afvis. Den aktuelle HTTP-transaktion vil blive afsluttet. Der vil ikke blive evalueret yderligere regler. Hvis reglen matcher i fase 1 eller 2 (anmodningsanalyse), når anmodningen ikke backend. Hvis det matcher i fase 3 eller 4 (responsanalyse), når svaret ikke frem til klienten.
- Omdiriger. HTTP-transaktionen vil blive standset, og en HTTP-omdirigering vil blive sendt til klienten.
Omdiriger url. URL'en, der sendes til klienten, når en regel matcher, og en omdirigeringsopløsning er konfigureret.
Standard fase. Standardfasen, når der ikke er angivet nogen fase i en regel. Faser er HTTP-trin, hvor en WAF-regel kan tilsluttes. De definerede faser er:
- Anmodningsoverskrifter modtages. Udføres, når alle anmodningsheadere fra klienten er læst af belastningsbalanceren.
- Anmodningsinstans er modtaget. Udføres, når hele anmodningsteksten fra klienten er bufferet i belastningsbalanceren.
- Responslæsere modtages. Udføres, når alle svarheadere fra serveren er læst af belastningsbalanceren.
- Svarlegeme modtages. Udføres, når hele svarteksten fra serveren læses af belastningsbalanceren.
- Før end logning. Udføres, når WAF-processen afslutter logningsopgaven.
Standard log. Standardloghandlingen, der bruges, hvis ingen handling er angivet i regelindstillingerne.
Kun logning. Hvis den er aktiveret, vil opløsningsparameteren for reglerne i sættet aldrig blive udført. Denne tilstand er kun tilgængelig, når sættet kører.
Deaktiver regler #
Disse tabeller giver dig mulighed for at deaktivere regler i sættet uden at ændre dem.
Aktiverede regler. En liste over regler, der i øjeblikket er aktiveret i sættet, identificeret ved deres regel id og beskrivelse.
Deaktiverede regler. En liste over regler, der i øjeblikket er deaktiveret i sættet.
Liste over WAF-regler #
Regler sektion giver dig mulighed for at oprette og ændre WAF-regler, der registrerer og beskytter mod HTTP-angreb.
Disse regler evalueres sekventielt i den rækkefølge, de vises på denne skærm. For at sortere reglerne skal du aktivere Sort knappen og træk og slip dem til den ønskede position.
Regelparametre #
Følgende er de mulige parametre for reglerne:
ID. Identificerer reglen i regelsættet. Denne identifikator svarer til reglens position i sættet.
Regel-id. En unik identifikator for reglen. En farm kan ikke linkes til et WAF-sæt, der indeholder duplikerede regel-id'er.
Produktbeskrivelse. En beskrivende besked til at identificere reglen, som vil blive logget ved et vellykket match.
Fase. HTTP-anmodningstrinnet, hvor reglen vil blive eksekveret. Mulige faser inkluderer:
- Anmodningsoverskrifter modtages. Udføres, når alle anmodningsheadere fra klienten er læst af belastningsbalanceren.
- Anmodningsinstans er modtaget. Udføres, når hele anmodningsteksten fra klienten er bufferet i belastningsbalanceren.
- Responslæsere modtages. Udføres, når alle svarheadere fra serveren er læst af belastningsbalanceren.
- Svarlegeme modtages. Udføres, når hele svarteksten fra serveren læses af belastningsbalanceren.
- Før end logning. Udføres, når WAF-processen afslutter logningsopgaven.
Løsning. Den handling, der er valgt til at udføre, hvis alle matchbetingelser er opfyldt. Valgmuligheder omfatter:
- Tillad. Stopper med at evaluere yderligere regler for den aktuelle HTTP-transaktion, hvis der opstår et match.
- Pass. Fortsætter med at evaluere den næste regel uden at afbryde HTTP-transaktionen.
- Afvis. Afslutter den aktuelle HTTP-transaktion, hvilket forhindrer yderligere regelevalueringer. Hvis den matches i fase 1 eller 2 (anmodningsanalyse), når anmodningen ikke backend. Hvis det matches i fase 3 eller 4 (responsanalyse), når svaret ikke klienten.
- Omdiriger. Stopper HTTP-transaktionen og sender en HTTP-omdirigering til klienten.
- Standardhandling. Opløsningen indstillet, når ingen anvendes, normalt indstillet til Tillad.
Omdirigeringswebadresse. URL'en, hvor klienten vil blive omdirigeret, hvis en regel med en omdirigeringsopløsning udføres.
Spring. Hvis alle matchbetingelser er opfyldt, springer reglen over antallet af regler, der er angivet i dette felt.
Spring over efter. Hvis alle matchbetingelser er opfyldt, springer reglen til en anden firewallposition. Reglen kan springe til et 'mærke' eller et andet regel-id, og regel-id'et, der udføres efter et hop, vil være i samme fase som den aktuelle regel.
Udfør. Stien til et LUA-script, der vil blive udført, når det første match er opnået. Scriptet skal på forhånd være uploadet til load balanceren.
Log. Hvis den er aktiveret, vil reglen blive logget, når den første kamp er opnået.
Redigering af en WAF-regel i rå tilstand #
Hvis formularen ikke beskriver en given WAF-regel tilstrækkeligt, og administratoren ikke er bekendt med SecLang syntaks, er det muligt at oprette regler eller en batch af regler gennem redigeringsmuligheden. Dette felt accepterer alle instruktioner. Hvis instruktionerne og parametrene understøttes af SecLang syntaks, vil de parametre, der er udtrykt i formularen, ikke blive vist. De vil dog være synlige i redigeringsformen og behandles under kørsel.
Her er eksempler i både formtilstand og råtilstand.
Formulartilstand #
Denne tilstand er mere brugervenlig til redigering af en WAF-regel.
Rå tilstand #
Denne tilstand er for mere avancerede brugere.
Oprettelse af en WAF-regel #
Når en ny regel tilføjes, vil den blive tilføjet til de andre regler i sættet. Der er tre måder at oprette en ny regel på:
Regeltype:
- Handling. Opretter en grundlæggende regel ved hjælp af en formular. Parametrene for formularen er forklaret i Liste over WAF-regler afsnit. Hvis udførelsen af reglen er betinget, skal du klikke på Tilføj betingelse knappen for at indstille udførelsesbetingelserne.
- Mærke. Indstiller et firewall-mærke, der bruges, når en matchbetingelse er opnået. Den forventede parameter er det navn, der identificerer mærket.
- Tilpasset. Accepterer regler (eller en batch af regler) i SecLang-syntaks. For mere information om SecLang syntaks, besøg libmodsecurity projektdokumentation.
Liste over betingelser #
Tabellen på billedet nedenfor viser en liste over betingelser, som den parsede HTTP-pakke skal matche, for at reglen kan anvendes. Alle kampe vil blive udført i den fase, der er defineret i reglen. Kampene vil blive kontrolleret sekventielt, og reglen vil blive anvendt, hvis alle er gennemført.
For at evaluere kampen vil WAF udføre en operation (parametre Operatør og Betjening) mod en liste over variabler. Hvis nogle variabler på listen overholder operationen, vil de blive betragtet som vellykkede. For eksempel, i det følgende billede, overskriften BILLEDER søges efter i listen over anmodningsheadere sendt af klienten. Først afkoder den hver 64 baser af hver overskrift og konverterer derefter overskrifterne til små bogstaver. Når transformationen af variablerne er fuldført, anvendes et regulært udtryk, der leder efter strengen billeder på listen over transformerede variable. Det multikamp option vil prøve et match for hver transformationsoperation (efter base 64-afkodning og efter konvertering af små bogstaver).
Oprettelse af betingelser #
Kampen bygger en betingelse, der skal være opfyldt for at udføre WAF-reglen. For at evaluere kampen vil WAF udføre en operation (parametre Operatør og Betjening) mod en liste over variabler. Hvis der er et match mellem operationerne og variablerne på listen, anses matchningen som vellykket. For eksempel at lede efter lokal vært (127.0.0.1) på listen over forespørgselsoverskrifter og i HTTP-feltet virtuelle vært, kan det evalueres med følgende konfiguration.
Disse er konfigurationsparametrene for indstilling af betingelser:
Variabel. Dette angiver, hvilken del af HTTP-transaktionen reglen vil forsøge at matche. Du kan vælge fra de listede variabler, og matchene vil være gyldige, hvis nogle af dem matcher. Der vises en rullemenu, når du klikker dig igennem variabelfeltet. Oplysninger om den variable konfiguration kan findes i Oprettelse af variabler sektion.
Transformations. Dette er en liste over ændringer anvendt på variabler. Transformationer anvendes sekventielt i den rækkefølge, der er vist i feltet. Det er muligt at prøve et match for hver anvendt transformation ved at bruge multi-match-indstillingen. Transformationer ændrer ikke nogen information i HTTP-transaktionen; de gemmes i midlertidige sammenhænge og fjernes, når operationen er afsluttet. En liste over transformationerne kan findes link.. Denne parameter bruges til at fjerne anti-undgåelsesteknikker eller til at fjerne kodifikationsdata.
Operatør. Dette definerer, hvordan reglen forsøger at matche. Denne parameter kombineres normalt med Betjening. En liste over operatører kan findes link..
Betjening. Dette definerer, hvad reglerne forsøger at matche. Denne parameter kombineres normalt med operatøren. Typen af den forventede værdi skal stemme overens med operatøren.
Multi-match. Denne parameter bruges, når mere end én transformation er konfigureret. Reglen vil forsøge at matche variablerne Operatør, og Betjening for hver værdi af transformationerne. De mulige værdier er sande (aktiverer multi-match) eller falsk (deaktiverer multi-match-funktionen).
Passer ikke sammen. Hvis dette afkrydsningsfelt er aktiveret, vil resultatet af kampen blive negeret og konverteret til sand når resultatet er falsk og omvendt.
Oprettelse af variabler #
Variabler er obligatoriske parametre i en matchtilstand. De specificerer delen af HTTP anmode/svar at søge information.
Variabler. Denne parameter angiver, hvilket felt af HTTP-anmodningen/svaret, der skal undersøges (f.eks. tid, server).
Variables argument. Når en variabel er valgt, kan det være nødvendigt at angive et bestemt element i den. For eksempel viser billedet nedenfor, hvordan anmodningsoverskriften host er kontrolleret.
Tæl elementer af variable. Dette afkrydsningsfelt tæller antallet af elementer i variablen. Denne funktion er nyttig, når variablen er en liste.
Ignorer denne variabel for kampen. Hvis dette afkrydsningsfelt er aktiveret, vil variablen ikke blive markeret i matchen. Denne funktion er nyttig, når en variabel indeholder en liste over værdier, men en af dem skal udelukkes fra kontrollen.
Tabel over variabler #
| Variabel | Produktbeskrivelse |
|---|---|
| ARGS | Indsamling af argumentværdier i en anmodning. |
| ARGS_JSON | Indsamling af argumentværdier i en JSON-anmodning. Tilgængelig, når WAF analyserer JSON-argumenter; kræver aktivering af regelsættet REQUEST-901-INITIALIZATION. |
| ARGS_COMBINED_SIZE | Samlet størrelse af anmodningsparametre eksklusiv filer. |
| ARGS_NAMES | Indsamling af argumentnavne i en anmodning. |
| FILES | Filnavne i brugerfilsystemet. Gælder kun for multipart/form-data anmodninger. |
| FILES_COMBINED_SIZE | Samlet størrelse af filer i en anmodning. Gælder kun for anmodninger om flere dele/formulardata. |
| FILES_NAMES | Liste over filnavne, der bruges til at uploade filer. Gælder kun for anmodninger om flere dele/formulardata. |
| FILES_SIZES | Liste over individuelle filstørrelser. Gælder kun for anmodninger om flere dele/formulardata. |
| REQBODY_ERROR | Angiver, om anmodningens brødtekstformat er forkert for JSON eller XML (1 hvis sand, 0 hvis falsk). |
| REQUEST_BODY | Rå anmodningstekst. Hvis anmodningen ikke har application/x-www-form-urlencoded header, er det nødvendigt at bruge ctl:forceRequestBodyVariable i REQUEST_HEADER-fasen. |
| REQUEST_BODY_LENGTH | Antal bytes i anmodningsteksten. |
| REQUEST_COOKIES | Liste over alle værdier for anmodnings-cookie. |
| REQUEST_COOKIES_NAMES | Liste over alle værdier for anmodnings-cookie. |
| REQUEST_HEADERS | Alle anmodningsoverskrifter. |
| REQUEST_HEADERS_NAMES | Liste over navne på anmodningsoverskrifter. |
| REQUEST_METHOD | Anmodningsmetode (f.eks. GET, POST). |
| REQUEST_PROTOCOL | HTTP-versionsprotokol for anmodningen. |
| REQUEST_URI | URI-anmodningssti eksklusiv virtuel vært. |
| PATH_INFO | Oplysninger før URI-stien. |
| FULD_ANMODNING | Fuldstændig anmodningsindhold. |
| FULL_REQUEST_LENGTH | Antal bytes i den fulde anmodning. |
| RESPONSE_BODY | Rå svar krop. |
| RESPONSE_CONTENT_LENGTH | Antal bytes i svarteksten. |
| RESPONSE_HEADERS | Alle svaroverskrifter. |
| RESPONSE_HEADERS_NAMES | Liste over navne på svaroverskrifter. |
| RESPONSE_PROTOCOL | HTTP-versionsprotokol for svaret. |
| RESPONSE_STATUS | HTTP-svarstatuskode. |
| REMOTE_ADDR | IP-adressen på klienten. |
| Fjern_port | Port, hvor klienten startede forbindelsen. |
| REMOTE_USER | Autentificeret brugernavn. |
| TIME | Server tid ind timer:minutter:sekunder format. |
| VARIGHED | Varigheden af den aktuelle transaktion i millisekunder fra påbegyndelsestidspunktet. |
| MULTIPART_FILENAME | Filnavn felt i en flerdelt anmodning. |
| MULTIPART_NAME | Feltnavn i en flerdelt anmodning. |
| MATCHED_VAR | Værdi matchet i den sidste kamphandling. Udskiftes i hver kampoperation uden behov for optagelsesmulighed. |
| MATCHED_VARS | Liste over alle matchede værdier. |
| SERVER_ADDR | Serverens IP-adresse. |
| SERVER_NAME | Virtuel vært hentet fra anmodnings-URI. |
| ENV | WAFs miljøvariabler. |
| TX | Indsamling af variabler for den aktuelle transaktion. Fjernet, når transaktionen slutter. Variabler TX:0-TX:9 lagre værdier fanget med strRegex eller sætningsoperatører. |
Tabel over operatører #
Operatørerne kan kategoriseres i forskellige kontekster, hver angivet med et præfiks som f.eks int for heltal, IP til IP-drift, str for strenge, eller validere til datavalidering.
| Variabel | Produktbeskrivelse |
|---|---|
| strBegynder | Matcher, hvis en variabel begynder med den angivne driftsværdi. |
| strIndeholder | Matcher, hvis en variabel indeholder den angivne driftsværdi. |
| strIndeholderWord | Matcher, hvis en variabel indeholder det angivne ord eller værdien af operationen. |
| strEnd | Matcher, hvis en variabel slutter med den angivne driftsværdi. |
| strIndenfor | Matcher, hvis en variabel starter med den angivne driftsværdi. |
| strMatch | Matcher, hvis en variabel matcher en af strengene i driftslisten (opdelt med tegnet |). |
| strEq | Matcher, hvis en variabel er identisk med den angivne driftsværdi. |
| strRegex | Matcher, hvis en variabel matcher det regulære udtryk, der er angivet i operationen. |
| strSætninger | Matcher, hvis en variabel matcher en værdi på listen, der er angivet i betjeningen. |
| strPhrasesFromFile | Svarende til strPhrases, men listen over sætninger er defineret i en fil specificeret i operationen. |
| inteEQ | Matcher, hvis en variabel er lig med det angivne tal i operationen. |
| intGE | Matcher, hvis en variabel er større end eller lig med det angivne tal i operationen. |
| intGT | Matcher, hvis en variabel er større end det angivne tal i operationen. |
| intLE | Matcher, hvis en variabel er mindre end eller lig med det angivne tal i operationen. |
| intLT | Matcher, hvis en variabel er mindre end det angivne tal i operationen. |
| opdageSQLi | Registrerer SQL-injektion i listen over variabler. |
| detectXSS | Registrerer XSS (Cross-Site Scripting)-injektion i listen over variabler. |
| ipMatch | Forsøg på at matche IP-adresser eller netværkssegmenter angivet i driften med listen over variabler. Brug komma som separator for flere IP'er eller segmenter. |
| ipMatchFromFile | Svarende til ipMatch, men læser IP'erne og netværkssegmenterne fra en fil, der er angivet i operationen. |
| validateByteRange | Sikrer, at antallet af bytes i variablerne falder inden for det område, der er angivet i operationen (f.eks. "10, 13, 32-126"). |
| validereUrlEncoding | Validerer kodede data. Brug kun til data, der ikke almindeligvis koder, eller til data, der er kodet flere gange. |
| validerUtf8Encoding | Validerer UTF-8-kodede variabler. |
| verifyCreditCard | Verificerer, om variabler er gyldige kreditkortnumre ved hjælp af det regulære udtryk, der er angivet i operationen. |
| verificereSSN | Verificerer, om variabler er gyldige amerikanske socialsikringsnumre ved hjælp af det regulære udtryk, der er angivet i operationen. |
| matchAlways | Returnerer altid sandt, hvilket tvinger et match uanset andre forhold. |
| matchAldrig | Returnerer altid falsk, hvilket tvinger et ikke-match uanset andre forhold. |
Transformationstabel #
Her er tabellen, der beskriver transformationer:
| Transformation | Produktbeskrivelse |
|---|---|
| base64Decode | Afkoder en Base64-kodet streng. |
| base64DecodeExt | Afkoder en Base64-kodet streng, der ignorerer ugyldige tegn. |
| sqlHexDecode | Afkoder SQL hex data. |
| base64 Encode | Koder ved hjælp af Base64-kodning. |
| cmdLine | Undgår problemer forbundet med undslupne kommandolinjer. |
| compressWhitespace | Konverterer mellemrumstegn (0x20, \f, \t, \n, \r, \v, 0xa0) til mellemrum (ASCII 0x20), og komprimerer flere på hinanden følgende mellemrum til ét. |
| cssDecode | Afkoder tegn kodet ved hjælp af CSS 2.x escape-reglerne. Denne funktion bruger kun op til to bytes i afkodningsprocessen, hvilket betyder, at den bruges til at afdække ASCII-tegn kodet ved hjælp af CSS-kodning (som normalt ikke ville være kodet), eller til at modvirke unddragelse, som er en kombination af en omvendt skråstreg og ikke -hexadecimale tegn (f.eks. svarer ja\vascript til javascript). |
| escapeSeqDecode | Afkoder ANSI C escape-sekvenser: \a, \b, \f, \n, \r, \t, \v, \\, \?, \', \”, \xHH (hexadecimal), \0OOO (oktal) . Ugyldige kodninger er tilbage i outputtet. |
| hexDecode | Afkoder en streng, der er blevet kodet ved hjælp af den samme algoritme som den, der blev brugt i hexEncode (se følgende indgang). |
| hexEncode | Koder streng (eventuelt indeholdende binære tegn) ved at erstatte hver inputbyte med to hexadecimale tegn (f.eks. er xyz kodet som 78797a). |
| htmlEntityDecode | Afkoder tegn kodet som HTML-enheder. |
| jsDecode | Afkoder JavaScript-escape-sekvenser. |
| længde | Henter længden af inputstrengen i bytes. |
| små bogstaver | Konverterer alle tegn til små bogstaver ved hjælp af den aktuelle C-lokalitet. |
| md5 | Beregner en MD5-hash fra inputdataene. Den beregnede hash er i en rå binær form og skal muligvis kodes ind i teksten for at blive udskrevet (eller logget). Hash-funktioner bruges almindeligvis i kombination med hexEncode. |
| ingen | Fjerner tidligere transformationsfunktioner knyttet til den aktuelle regel. |
| normalisere sti | Fjerner flere skråstreger, selvreferencer til mapper og tilbage-referencer til mappen fra inputstrengen (undtagen når i begyndelsen af input). |
| normalizePathWin | Svarende til normalisere sti, men konverterer omvendt skråstreg til skråstreg først. |
| paritetEven7bit | Beregner lige paritet af 7-bit data, og erstatter den 8. bit af hver målbyte med den beregnede paritetsbit. |
| paritetUlige 7bit | Beregner ulige paritet af 7-bit data, og erstatter den 8. bit af hver målbyte med den beregnede paritetsbit. |
| paritetNul7bit | Beregner nulparitet af 7-bit data, og erstatter den 8. bit af hver målbyte med en nulparitetsbit, som tillader inspektion af lige/ulige paritet 7-bit data som ASCII7-data. |
| fjerneNuller | Fjerner alle NUL-bytes fra input. |
| fjern hvidt mellemrum | Fjerner alle blanktegn fra input. |
| udskift Kommentarer | Erstatter forekomster af kommentarer i C-stil (/* … */) med et enkelt mellemrum (flere på hinanden følgende forekomster vil ikke blive komprimeret). Uafsluttede kommentarer vil også blive erstattet med mellemrum (ASCII 0x20). En selvstændig opsigelse af en kommentar (*/) vil dog ikke blive behandlet. |
| fjernkommentarerChar | Fjerner almindelige kommentartegn fra input (/*, */, –, #). |
| erstatteNulls | Erstatter NUL-bytes i input med mellemrumstegn (ASCII 0x20). |
| urlDecode | Afkoder en URL-kodet inputstreng. Ugyldige kodninger (dvs. dem, der bruger ikke-hexadecimale tegn, eller dem, der er i slutningen af strengen og mangler en eller to bytes) konverteres ikke, men der opstår ingen fejl. |
| store bogstaver | Konverterer alle tegn til store bogstaver ved hjælp af den aktuelle C-lokalitet. |
| urlDecodeUni | Afkoder URL-kodet input med understøttelse af Microsoft-specifik kodning (som urlDecode, men med understøttelse af den Microsoft-specifikke %, u-kodning). |
| urlEncode | Koder inputstreng ved hjælp af URL-kodning. |
| utf8toUnicode | Konverterer UTF-8-tegnsekvenser til Unicode. Dette hjælper med at normalisere input, især for ikke-engelske sprog, ved at minimere falske positive og falske negative. |
| sha1 | Beregner en SHA1-hash fra inputdataene. Den beregnede hash er i en rå binær form og skal muligvis kodes ind i teksten for at blive udskrevet (eller logget). Hash-funktioner bruges almindeligvis i kombination med hexEncode. |
| trim Venstre | Fjerner mellemrum fra venstre side af inputstrengen. |
| trimRight | Fjerner mellemrum fra højre side af inputstrengen. |
| trimme | Fjerner mellemrum fra begge sider af inputstrengen. |
Farms WAF-indstillinger #
Dette afsnit giver dig mulighed for at tildele det aktuelle WAF-regelsæt til HTTP(s) farme.
Her kan du vælge en eller flere gårde (hold nede Flytte tasten for at vælge flere) for at tildele eller fjerne WAF-regelsættet. Brug de dobbelte pileknapper til at tildele eller fjerne regelsættet fra alle tilgængelige gårde.
