Configuración de una regla de protección precisa
WAF le permite personalizar las reglas de protección combinando encabezados HTTP, URL, parámetros de solicitud y direcciones IP de cliente.
Puede combinar campos HTTP comunes, como IP, Path, Referer, User Agent, and Params en una regla de protección para permitir que WAF permita, bloquee o solo registre las solicitudes que coincidan con las condiciones combinadas.
Se puede añadir una tabla de referencia a una regla de protección precisa. La tabla de referencia tiene efecto para todos los nombres de dominio protegidos.
Si ha habilitado proyectos de empresa, asegúrese de que tiene todos los permisos de operación para el proyecto en el que se encuentra la instancia WAF. A continuación, puede seleccionar el proyecto de la lista desplegable Enterprise Project y configurar políticas de protección para los nombres de dominio del proyecto.
Prerrequisitos
Se ha agregado un sitio web a WAF.
- Para ver el modo en la nube, consulte Conexión de un sitio web a WAF (Cloud Mode).
- Para el modo dedicado, consulte Conexión de un sitio web a WAF (Modo dedicado).
Restricciones
- El campo Response no se puede configurar en la edición estándar, anteriormente edición profesional.
- Full Detection no está disponible en la edición estándar WAF (anteriormente edición profesional) y para la nube WAF facturada sobre una base de pago por uso.
- La función de tabla de referencia no está disponible en la edición estándar WAF (anteriormente edición profesional) y en la nube WAF facturado sobre una base de pago por uso.
- Si desea especificar el campo Respuesta, seleccione las siguientes regiones:
- CN-Hong Kong
- AP-Bangkok
- Se necesitan varios minutos para que una nueva regla entre en vigor. Una vez que la regla surta efecto, los eventos de protección activados por la regla se mostrarán en la página Events.
- Si configura Protective Action para Block para una regla de protección precisa, puede configurar una regla de origen de ataque conocida haciendo referencia a Configuración de una regla de origen de ataque conocida. WAF bloqueará las solicitudes que coincidan con la dirección IP, la cookie o los parámetros configurados durante un período de tiempo configurado como parte de la regla.
Escenarios de aplicación
Se utilizan reglas de protección precisas para la protección de fondo anti-leching y gestión de sitios web.
Procedimiento
- Inicie sesión en la consola de gestión
- Haga clic en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
- Haga clic en la esquina superior izquierda y elija Web Application Firewall en Security & Compliance.
- In the navigation pane, choose Website Settings.
- En la columna Policy de la fila que contiene el nombre de dominio, haga clic en Configure Policy.
- En el área de configuración de Precise Protection, cambie el Status según sea necesario y haga clic en Customize Rule para ir a la página Precise Protection.
Figura 1 Área de configuración de protección precisa
- En la página Precise Protection, configure Detection Mode. Figura 2 muestra un ejemplo.
Two detection modes are available:
- Instant Detection: si una solicitud coincide con una regla de protección precisa configurada, WAF finaliza inmediatamente la detección de amenazas y bloquea la solicitud.
- Full Detection: Si una solicitud coincide con una regla de protección precisa configurada, WAF finaliza su análisis primero y luego bloquea todas las solicitudes que coinciden con la regla de protección precisa configurada.
- Haga clic en Add Rule.
- En el cuadro de diálogo que se muestra, agregue una regla haciendo referencia a Tabla 1 y Ejemplo de Configuración - Bloqueo de Cierto Tipo de Solicitudes de Ataque.
Los ajustes mostrados en Figura 3 se utilizan como ejemplo. Si un visitante intenta acceder a una URL que contiene /admin, WAF bloqueará la solicitud.
Para asegurarse de que WAF bloquea solo las solicitudes de ataque, configure primero Protective Action a Log only para registrar solo y compruebe si las solicitudes normales están bloqueadas en la página Events. Si no se bloquean solicitudes normales, configure Protective Action para Block.
Tabla 1 Parámetros de regla Parámetro
Descripción
Valor de ejemplo
Protective Action
Puede seleccionar Block, Allow, o Log only. Valor predeterminado: Block
Block
Known Attack Source
Si establece Protective Action en Block, puede seleccionar un tipo de bloqueo para una regla de origen de ataque conocida. A continuación, WAF bloquea las solicitudes que coinciden con la IP, Cookie, or Params configurados durante un período de tiempo que depende del tipo de bloqueo seleccionado.
Long-term IP address blocking
Effective Date
Seleccione Immediate para activar la regla inmediatamente, o seleccione Custom para configurar cuando desee activar la regla.
Immediate
Condition List
Haga clic en Add para agregar condiciones. Es necesario añadir al menos una condición. Puede agregar hasta 30 condiciones a una regla de protección. Si se añade más de una condición, se deben cumplir todas las condiciones para que se aplique la regla. Una condición incluye los siguientes parámetros:
Los parámetros para configurar una condición se describen de la siguiente manera:- Field
- Subfield: configure este campo solo cuando se seleccione Params, Cookie, o Header para Field.
AVISO:
La longitud de un subcampo no puede superar los 2,048 de bytes. Solo se permiten dígitos, letras, guiones bajos (_) y guiones (-).
- Lógica: Seleccione una relación lógica de la lista desplegable.
NOTA:
- Si se selecciona Include any value, Exclude any value, Equal to any value, Not equal to any value, Prefix is any value, Prefix is not any of them, Suffix is any value, o Suffix is not any of them. seleccione una tabla de referencia existente en la lista desplegable de Content. Para más detalles, consulte Adición de una tabla de referencia.
- Exclude any value, Not equal to any value, Prefix is not any of them, y Suffix is not any of them indica, respectivamente, que WAF realiza la acción de protección (bloquear, permitir o registrar solamente) cuando el campo en la solicitud de acceso no contiene, no es igual a, o el prefijo o sufijo no es ningún valor establecido en la tabla de referencia. Por ejemplo, supongamos que el campo Path está establecido en Exclude any value y que se selecciona la tabla de referencia de test. Si la test1, test2, and test3 se establecen en la tabla de referencia de test, WAF realiza la acción de protección cuando la ruta de la solicitud de acceso no contiene la test1, test2, o test3.
- Content: Ingrese o seleccione el contenido de la coincidencia de condiciones.
NOTA:Para obtener más detalles sobre las configuraciones en general, consulte Tabla 2.
- Path Include /admin
- User Agent Prefix is not mozilla/5.0
- IP Equal to 192.168.2.3
- Cookie key1 Prefix is not jsessionid
Priority
Prioridad de la regla. Si ha agregado varias reglas, las reglas se comparan por prioridad. Cuanto menor sea el valor que establezca, mayor será la prioridad.
AVISO:Si varias reglas de control de acceso precisas tienen la misma prioridad, WAF coincide con las reglas en la secuencia de tiempo en que se añaden las reglas.
5
Rule Description
Una breve descripción de la regla. Este parámetro es opcional.
None
Tabla 2 Configuraciones de lista de condiciones Campo
Ejemplo de subcampo
Lógica
Ejemplo de contenido
Path: Parte de una URL que no incluye un nombre de dominio. Este valor solo admite coincidencias exactas. Por ejemplo, si la ruta a proteger es /admin, Path debe establecerse en /admin.
None
Seleccione una relación lógica en la lista desplegable.
/buy/phone/
AVISO:Si Path está establecido en /, todas las rutas del sitio web están protegidas.
User Agent: Un agente de usuario del escáner que se va a comprobar.
None
Mozilla/5.0 (Windows NT 6.1)
IP: Una dirección IP del visitante para la protección.
None
XXX.XXX.1.1
Params: Un parámetro de solicitud.
sttl
201901150929
Referer: A user-defined request resource.
Por ejemplo, si la ruta protegida es /admin/xxx y no desea que los visitantes accedan a la página de www.test.com, establezca Content en http://www.test.com.
None
http://www.test.com
Cookie: Una pequeña porción de datos para identificar a los visitantes de la web.
name
jsessionid
Header: Un encabezado HTTP definido por el usuario.
Accept
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Method: the user-defined request method.
None
GET, POST, PUT, DELETE, and PATCH
Request Line: Longitud de una línea de solicitud definida por el usuario.
None
50
Request: Longitud de una solicitud definida por el usuario. Incluye el encabezado de la solicitud, la línea de solicitud y el cuerpo de la solicitud.
None
None
Protocol: el protocolo de la solicitud.
None
http
Response Code: Código de estado devuelto a la solicitud.
None
- Equivalente a
- Distinto a
- Igual a cualquier valor
- No igual a cualquier valor
404
Response Length: la duración de la respuesta a la solicitud.
None
- La longitud del subcampo es igual a
- La longitud del subcampo no es igual a
- La longitud del subcampo es superior a
- La longitud del subcampo es inferior a
None
Response Time: tiempo para responder a la solicitud.
None
- La longitud del subcampo es igual a
- La longitud del subcampo no es igual a
- La longitud del subcampo es superior a
- La longitud del subcampo es inferior a
None
Response Header: encabezado de respuesta.
None
- Incluir
- Excluir
- Equivalente a
- Distinto a
None
Response Body: cuerpo del mensaje de respuesta
None
- Incluir
- Excluir
- Incluir cualquier valor
- Excluir cualquier valor
None
Los campos Response Code, Response Length, Response Time, Response Header, and Response Body solo son compatibles con la edición profesional (anteriormente edición empresarial), edición platino (anteriormente última edición) e instancia WAF dedicada en las siguientes regiones:
- CN-Hong Kong
- AP-Bangkok
- Haga clic en OK. A continuación, puede ver la regla de protección precisa agregada en la lista de reglas de protección.
Figura 4 Reglas de protección
- Para deshabilitar una regla, haga clic en Disable en la columna Operation de la regla. El Rule Status predeterminado es Enabled.
- Para modificar una regla, haga clic en Modify en la fila que contiene la regla.
- Para eliminar una regla, haga clic en Delete en la fila que contiene la regla.
Efecto de protección
Si ha configurado una regla de protección precisa como se muestra en Figura 3 para su nombre de dominio, para verificar que WAF está protegiendo su sitio web (www.example.com) contra la regla:
- Borre la caché del navegador e introduzca el nombre de dominio en la barra de direcciones para comprobar si el sitio web es accesible.
- Si el sitio web es inaccesible, conecte el nombre de dominio del sitio web a WAF siguiendo las instrucciones en Paso 3: Enrutación del tráfico del sitio web a WAF.
- Si el sitio web es accesible, vaya a Paso 2.
- Borre la caché del navegador e introduzca http://www.example.com/admin (o cualquier página que contenga /admin) en la barra de direcciones. Normalmente, WAF bloquea las solicitudes que cumplen con las condiciones y devuelve la página de bloqueo.
- Vuelva a la consola WAF. En el panel de navegación, haga clic en Events. En la página mostrada, vea o descargue datos de eventos.
Ejemplo de Configuración - Bloqueo de Cierto Tipo de Solicitudes de Ataque
El análisis de un tipo específico de ataque pingback de WordPress muestra que el campo User Agent contiene WordPress. Vea Figura 5.
Una regla precisa como se muestra en la figura puede bloquear este tipo de ataque.
Ejemplo de Configuración - Bloqueo de Solicitudes de Ataque a Cierta URL
Si un gran número de direcciones IP está accediendo a una dirección URL que no existe, configure la siguiente regla de protección para bloquear dichas solicitudes y reducir el uso de recursos en el servidor de origen. Figura 7 muestra la configuración de la regla.
Ejemplo de configuración: bloqueo de solicitudes con campos nulos
Puede configurar reglas de protección precisas para bloquear un campo nulo. Por ejemplo, para proteger el nombre de dominio www.example.com de solicitudes con Referer vacío, configure una regla como se muestra en Figura 8.
Ejemplo de configuración - Bloqueo de tipos de archivo especificados (ZIP, TAR y DOCX)
Puede configurar tipos de archivo que coincidan con el campo de ruta de acceso para bloquear archivos específicos de ciertos tipos. Por ejemplo, si desea bloquear archivos.zip, puede configurar una regla de protección precisa como se muestra en Figura 9 para bloquear las solicitudes de acceso de archivos.zip.
Ejemplo de configuración: prevención de enlaces directos
Puede configurar una regla de protección basada en el campo Referente para permitir que WAF bloquee los vínculos directos desde un sitio web específico. Si descubre que, por ejemplo, las solicitudes de https://abc.blog.com están robando imágenes de su sitio, puede configurar una regla para bloquear dichas solicitudes.
Ejemplo de configuración: permitir que una dirección IP especificada acceda a su sitio web
Puede configurar dos reglas de protección precisas, una para bloquear todas las solicitudes, como se muestra en Figura 11, pero otra para permitir el acceso desde una dirección IP específica, como se muestra en Figura 12.
Ejemplo de configuración: permitir que una dirección IP específica acceda a una dirección URL determinada
Puede configurar varias condiciones en el campo Condition List. Si una solicitud de acceso cumple las condiciones de la lista, WAF permitirá que la solicitud desde una dirección IP específica acceda a una URL especificada. Figura 13 muestra un ejemplo.