Configuración de una regla de protección precisa

Prerrequisitos

Se ha agregado un sitio web a WAF.

• Para ver el modo en la nube, consulte Conexión de un sitio web a WAF (Cloud Mode).
• Para el modo dedicado, consulte Conexión de un sitio web a WAF (Modo dedicado).

Restricciones

• El campo Response no se puede configurar en la edición estándar, anteriormente edición profesional.
• Full Detection no está disponible en la edición estándar WAF (anteriormente edición profesional) y para la nube WAF facturada sobre una base de pago por uso.
• La función de tabla de referencia no está disponible en la edición estándar WAF (anteriormente edición profesional) y en la nube WAF facturado sobre una base de pago por uso.

• Si desea especificar el campo Respuesta, seleccione las siguientes regiones:
  • CN-Hong Kong
  • AP-Bangkok
• Se necesitan varios minutos para que una nueva regla entre en vigor. Una vez que la regla surta efecto, los eventos de protección activados por la regla se mostrarán en la página Events.
• Si configura Protective Action para Block para una regla de protección precisa, puede configurar una regla de origen de ataque conocida haciendo referencia a Configuración de una regla de origen de ataque conocida. WAF bloqueará las solicitudes que coincidan con la dirección IP, la cookie o los parámetros configurados durante un período de tiempo configurado como parte de la regla.

Escenarios de aplicación

Se utilizan reglas de protección precisas para la protección de fondo anti-leching y gestión de sitios web.

Procedimiento

1. Inicie sesión en la consola de gestión
2. Haga clic en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
3. Haga clic en la esquina superior izquierda y elija Web Application Firewall en Security & Compliance.
4. In the navigation pane, choose Website Settings.
5. En la columna Policy de la fila que contiene el nombre de dominio, haga clic en Configure Policy.
6. En el área de configuración de Precise Protection, cambie el Status según sea necesario y haga clic en Customize Rule para ir a la página Precise Protection.
   Figura 1 Área de configuración de protección precisa
   

7. En la página Precise Protection, configure Detection Mode. Figura 2 muestra un ejemplo.
   Two detection modes are available:

   • Instant Detection: si una solicitud coincide con una regla de protección precisa configurada, WAF finaliza inmediatamente la detección de amenazas y bloquea la solicitud.
   • Full Detection: Si una solicitud coincide con una regla de protección precisa configurada, WAF finaliza su análisis primero y luego bloquea todas las solicitudes que coinciden con la regla de protección precisa configurada.
     Figura 2 Configuración del modo de detección
     

8. Haga clic en Add Rule.
9. En el cuadro de diálogo que se muestra, agregue una regla haciendo referencia a Tabla 1 y Ejemplo de Configuración - Bloqueo de Cierto Tipo de Solicitudes de Ataque.

   Los ajustes mostrados en Figura 3 se utilizan como ejemplo. Si un visitante intenta acceder a una URL que contiene /admin, WAF bloqueará la solicitud.

   

   Para asegurarse de que WAF bloquea solo las solicitudes de ataque, configure primero Protective Action a Log only para registrar solo y compruebe si las solicitudes normales están bloqueadas en la página Events. Si no se bloquean solicitudes normales, configure Protective Action para Block.

   Figura 3 Agregar regla de protección precisa
   

   Tabla 1 Parámetros de regla

   Parámetro	Descripción	Valor de ejemplo
   Protective Action	Puede seleccionar Block, Allow, o Log only. Valor predeterminado: Block	Block
   Known Attack Source	Si establece Protective Action en Block, puede seleccionar un tipo de bloqueo para una regla de origen de ataque conocida. A continuación, WAF bloquea las solicitudes que coinciden con la IP, Cookie, or Params configurados durante un período de tiempo que depende del tipo de bloqueo seleccionado.	Long-term IP address blocking
   Effective Date	Seleccione Immediate para activar la regla inmediatamente, o seleccione Custom para configurar cuando desee activar la regla.	Immediate
   Condition List	Haga clic en Add para agregar condiciones. Es necesario añadir al menos una condición. Puede agregar hasta 30 condiciones a una regla de protección. Si se añade más de una condición, se deben cumplir todas las condiciones para que se aplique la regla. Una condición incluye los siguientes parámetros: Los parámetros para configurar una condición se describen de la siguiente manera: Field Subfield: configure este campo solo cuando se seleccione Params, Cookie, o Header para Field. AVISO: La longitud de un subcampo no puede superar los 2,048 de bytes. Solo se permiten dígitos, letras, guiones bajos (_) y guiones (-). Lógica: Seleccione una relación lógica de la lista desplegable. NOTA: Si se selecciona Include any value, Exclude any value, Equal to any value, Not equal to any value, Prefix is any value, Prefix is not any of them, Suffix is any value, o Suffix is not any of them. seleccione una tabla de referencia existente en la lista desplegable de Content. Para más detalles, consulte Adición de una tabla de referencia. Exclude any value, Not equal to any value, Prefix is not any of them, y Suffix is not any of them indica, respectivamente, que WAF realiza la acción de protección (bloquear, permitir o registrar solamente) cuando el campo en la solicitud de acceso no contiene, no es igual a, o el prefijo o sufijo no es ningún valor establecido en la tabla de referencia. Por ejemplo, supongamos que el campo Path está establecido en Exclude any value y que se selecciona la tabla de referencia de test. Si la test1, test2, and test3 se establecen en la tabla de referencia de test, WAF realiza la acción de protección cuando la ruta de la solicitud de acceso no contiene la test1, test2, o test3. Content: Ingrese o seleccione el contenido de la coincidencia de condiciones. NOTA: Para obtener más detalles sobre las configuraciones en general, consulte Tabla 2.	Path Include /admin User Agent Prefix is not mozilla/5.0 IP Equal to 192.168.2.3 Cookie key1 Prefix is not jsessionid
   Priority	Prioridad de la regla. Si ha agregado varias reglas, las reglas se comparan por prioridad. Cuanto menor sea el valor que establezca, mayor será la prioridad. AVISO: Si varias reglas de control de acceso precisas tienen la misma prioridad, WAF coincide con las reglas en la secuencia de tiempo en que se añaden las reglas.	5
   Rule Description	Una breve descripción de la regla. Este parámetro es opcional.	None

   Tabla 2 Configuraciones de lista de condiciones

   Campo	Ejemplo de subcampo	Lógica	Ejemplo de contenido
   Path: Parte de una URL que no incluye un nombre de dominio. Este valor solo admite coincidencias exactas. Por ejemplo, si la ruta a proteger es /admin, Path debe establecerse en /admin.	None	Seleccione una relación lógica en la lista desplegable.	/buy/phone/ AVISO: Si Path está establecido en /, todas las rutas del sitio web están protegidas.
   User Agent: Un agente de usuario del escáner que se va a comprobar.	None		Mozilla/5.0 (Windows NT 6.1)
   IP: Una dirección IP del visitante para la protección.	None		XXX.XXX.1.1
   Params: Un parámetro de solicitud.	sttl		201901150929
   Referer: A user-defined request resource. Por ejemplo, si la ruta protegida es /admin/xxx y no desea que los visitantes accedan a la página de www.test.com, establezca Content en http://www.test.com.	None		http://www.test.com
   Cookie: Una pequeña porción de datos para identificar a los visitantes de la web.	name		jsessionid
   Header: Un encabezado HTTP definido por el usuario.	Accept		text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
   Method: the user-defined request method.	None		GET, POST, PUT, DELETE, and PATCH
   Request Line: Longitud de una línea de solicitud definida por el usuario.	None		50
   Request: Longitud de una solicitud definida por el usuario. Incluye el encabezado de la solicitud, la línea de solicitud y el cuerpo de la solicitud.	None		None
   Protocol: el protocolo de la solicitud.	None		http
   Response Code: Código de estado devuelto a la solicitud.	None	Equivalente a Distinto a Igual a cualquier valor No igual a cualquier valor	404
   Response Length: la duración de la respuesta a la solicitud.	None	La longitud del subcampo es igual a La longitud del subcampo no es igual a La longitud del subcampo es superior a La longitud del subcampo es inferior a	None
   Response Time: tiempo para responder a la solicitud.	None	La longitud del subcampo es igual a La longitud del subcampo no es igual a La longitud del subcampo es superior a La longitud del subcampo es inferior a	None
   Response Header: encabezado de respuesta.	None	Incluir Excluir Equivalente a Distinto a	None
   Response Body: cuerpo del mensaje de respuesta	None	Incluir Excluir Incluir cualquier valor Excluir cualquier valor	None

   

   Los campos Response Code, Response Length, Response Time, Response Header, and Response Body solo son compatibles con la edición profesional (anteriormente edición empresarial), edición platino (anteriormente última edición) e instancia WAF dedicada en las siguientes regiones:

   • CN-Hong Kong
   • AP-Bangkok

10. Haga clic en OK. A continuación, puede ver la regla de protección precisa agregada en la lista de reglas de protección.
    Figura 4 Reglas de protección
    
    • Para deshabilitar una regla, haga clic en Disable en la columna Operation de la regla. El Rule Status predeterminado es Enabled.
    • Para modificar una regla, haga clic en Modify en la fila que contiene la regla.
    • Para eliminar una regla, haga clic en Delete en la fila que contiene la regla.

Efecto de protección

Si ha configurado una regla de protección precisa como se muestra en Figura 3 para su nombre de dominio, para verificar que WAF está protegiendo su sitio web (www.example.com) contra la regla:

1. Borre la caché del navegador e introduzca el nombre de dominio en la barra de direcciones para comprobar si el sitio web es accesible.
   • Si el sitio web es inaccesible, conecte el nombre de dominio del sitio web a WAF siguiendo las instrucciones en Paso 3: Enrutación del tráfico del sitio web a WAF.
   • Si el sitio web es accesible, vaya a Paso 2.

2. Borre la caché del navegador e introduzca http://www.example.com/admin (o cualquier página que contenga /admin) en la barra de direcciones. Normalmente, WAF bloquea las solicitudes que cumplen con las condiciones y devuelve la página de bloqueo.
3. Vuelva a la consola WAF. En el panel de navegación, haga clic en Events. En la página mostrada, vea o descargue datos de eventos.

Ejemplo de Configuración - Bloqueo de Cierto Tipo de Solicitudes de Ataque

El análisis de un tipo específico de ataque pingback de WordPress muestra que el campo User Agent contiene WordPress. Vea Figura 5.

Figura 5 WordPress ataque de pingback

Una regla precisa como se muestra en la figura puede bloquear este tipo de ataque.

Figura 6 Configuración del agente de usuario

Ejemplo de Configuración - Bloqueo de Solicitudes de Ataque a Cierta URL

Si un gran número de direcciones IP está accediendo a una dirección URL que no existe, configure la siguiente regla de protección para bloquear dichas solicitudes y reducir el uso de recursos en el servidor de origen. Figura 7 muestra la configuración de la regla.

Figura 7 Bloquear solicitudes a una URL específica

Ejemplo de configuración: bloqueo de solicitudes con campos nulos

Puede configurar reglas de protección precisas para bloquear un campo nulo. Por ejemplo, para proteger el nombre de dominio www.example.com de solicitudes con Referer vacío, configure una regla como se muestra en Figura 8.

Figura 8 Bloquear solicitudes con Referer vacío

Ejemplo de configuración - Bloqueo de tipos de archivo especificados (ZIP, TAR y DOCX)

Puede configurar tipos de archivo que coincidan con el campo de ruta de acceso para bloquear archivos específicos de ciertos tipos. Por ejemplo, si desea bloquear archivos.zip, puede configurar una regla de protección precisa como se muestra en Figura 9 para bloquear las solicitudes de acceso de archivos.zip.

Figura 9 Bloqueo de solicitudes de tipos de archivo específicos

Ejemplo de configuración: prevención de enlaces directos

Puede configurar una regla de protección basada en el campo Referente para permitir que WAF bloquee los vínculos directos desde un sitio web específico. Si descubre que, por ejemplo, las solicitudes de https://abc.blog.com están robando imágenes de su sitio, puede configurar una regla para bloquear dichas solicitudes.

Figura 10 Prevención de enlaces directos

Ejemplo de configuración: permitir que una dirección IP especificada acceda a su sitio web

Puede configurar dos reglas de protección precisas, una para bloquear todas las solicitudes, como se muestra en Figura 11, pero otra para permitir el acceso desde una dirección IP específica, como se muestra en Figura 12.

Figura 11 Bloqueo de todas las solicitudes

Figura 12 Permitir el acceso de una dirección IP especificada

Ejemplo de configuración: permitir que una dirección IP específica acceda a una dirección URL determinada

Puede configurar varias condiciones en el campo Condition List. Si una solicitud de acceso cumple las condiciones de la lista, WAF permitirá que la solicitud desde una dirección IP específica acceda a una URL especificada. Figura 13 muestra un ejemplo.

Figura 13 Permitir que las direcciones IP específicas accedan a las URL especificadas