Configuração de regras básicas de proteção de Web
Depois que essa função é ativada, o WAF pode se defender contra ataques comuns da web, como injeções de SQL, XSS, vulnerabilidades de estouro remoto, inclusões de arquivos, vulnerabilidades de bash, execução de comandos remotos, passagem de diretório, acesso a arquivos sensíveis, e injeções de comando/código. Você também pode ativar outras verificações na proteção básica da Web, como detecção de shell da Web, inspeção profunda contra ataques de evasão e inspeção de cabeçalho.
Para obter detalhes sobre como configurar regras básicas de proteção da Web, consulte Proteção básica da Web.
Se você ativou projetos corporativos, verifique se tem todas as permissões de operação para o projeto em que sua instância do WAF está localizada. Em seguida, você pode selecionar o projeto na lista suspensa Enterprise Project e configurar políticas de proteção para os nomes de domínio no projeto.
Pré-requisitos
Um site foi adicionado ao WAF.
- Para o modo de nuvem, consulte Conexão de um site ao WAF (Modo Nuvem).
- Para o modo dedicado, veja Conexão de um site ao WAF (Modo Dedicado).
Restrições
- A proteção básica da Web tem dois modos: Block e Log only.
- Leva vários minutos para que uma nova regra entre em vigor. Depois que a regra entrar em vigor, os eventos de proteção desencadeados pela regra serão exibidos na página Events.
- Se você selecionar Block para o Basic Web Protection, poderá configurar critérios de controle de acesso para uma fonte de ataque conhecida. O WAF bloqueará solicitações correspondentes ao endereço IP configurado, cookie ou parâmetros por um período de tempo configurado como parte da regra.
- Atualmente, a inspeção profunda e a inspeção do encabeçamento são apoiadas em CN-Hong Kong e AP-Bangkok.
- Atualmente, a verificação de descriptografia Shiro é suportada em CN-Hong Kong.
Procedimento
- Efetue login no console de gerenciamento.
- Clique em
no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto. - Clique em
no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance. - No painel de navegação, escolha Website Settings.
- Na coluna Policy da linha que contém o nome de domínio, clique em Configure Policy.
- Na área de configuração da Basic Web Protection, altere o Status e o Mode conforme necessário consultando a Tabela 1.
Figura 1 Área de configuração Basic Web Protection
- Na área de configuração da Basic Web Protection, clique em Advanced Settings.
- Clique na aba do Protection Status, e permita tipos da proteção um por um consultando Tabela 3. Figura 2 mostra um exemplo.
Se você selecionar Mode para Block na guia Protection Status, poderá selecionar uma regra de origem de ataque conhecida para permitir que o WAF bloqueie solicitações de acordo. Para mais detalhes, consulte Configuração de uma regra de origem de ataque conhecido.
- Defina o nível de proteção.
Na parte superior da página, defina o Protection Level como Low, Medium ou High. O valor padrão é Medium.
Tabela 2 Níveis de proteção Nível de proteção
Descrição
Baixo
O WAF bloqueia apenas as solicitações com assinaturas de ataque óbvias.
Se um grande número de alarmes falsos for relatado, recomenda-se Low.
Médio
O nível padrão é Medium, que atende à maioria dos requisitos de proteção da Web.
Alto
Nesse nível, o WAF oferece a melhor proteção granular e pode interceptar ataques com recursos complexos de desvio, como ataques cibernéticos Jolokia, detecção de vulnerabilidades de interface de gateway comum (CGI) e ataques de injeção Druid SQL.
Recomendamos que você observe suas cargas de trabalho por um período de tempo antes de configurar uma regra de lista branca de proteção global e, em seguida, selecione High para que o WAF possa se defender contra mais ataques com efeito mínimo nas solicitações normais.
- Defina o tipo de proteção.
Por predefinição, General Check está activada. Você pode ativar outros tipos de proteção referindo-se a Tabela 3.
Tabela 3 Tipos de proteção Tipo
Descrição
Verificação geral
Defende contra ataques como injeções de SQL, XSS, vulnerabilidades de estouro remoto, inclusões de arquivos, vulnerabilidades Bash, execução de comandos remotos, passagem de diretórios, acesso a arquivos sensíveis e injeções de comando/código. Os ataques de injeção SQL são detectados principalmente com base na semântica.
NOTA:Se você ativar a General Check, o WAF verificará seus sites com base nas regras internas.
Detecção de Webshell
Protege contra shells da web da interface de upload.
NOTA:Se você ativar a Webshell Detection, o WAF detectará cavalos de Tróia de página da Web inseridos por meio da interface de upload.
Inspeção profunda
Identifica e bloqueia ataques de evasão, como os que usam ofuscação de caracteres homomórficos, injeção de comando com caracteres curinga deformados, UTF7, esquema de URI de dados e outras técnicas.
NOTA:Se você ativar a Deep Inspection, o WAF detectará e defenderá ataques de evasão em profundidade.
Inspeção de cabeçalho
Esta função está desativada por padrão. Quando estiver desabilitado, a Verificação Geral verificará alguns dos campos de cabeçalho, como User-Agent, Content-type, Accept-Language e Cookie.
NOTA:Se você ativar essa função, o WAF verificará todos os campos de cabeçalho nas solicitações.
Verificação de descriptografia Shiro
Esta função está desativada por padrão. Depois que essa função é ativada, o WAF usa AES e Base64 para descriptografar o campo RememberMe no cookies e verifica se esse campo é atacado. Existem centenas de chaves vazadas conhecidas incluídas e verificadas.
- Defina o nível de proteção.
- Clique na guia Protection Rules para exibir os detalhes. Figura 3 mostra um exemplo. Para obter mais detalhes sobre os parâmetros, consulte Tabela 4.
Clique em
para pesquisar uma regra por CVE ID, Risk Severity, Application Type, ou Protection Type.Tabela 4 Regras de proteção Parâmetro
Descrição
ID da regra
A ID da regra de proteção, que é gerada automaticamente.
Descrição da regra
Detalhes dos ataques para os quais a regra de proteção está configurada.
ID da CVE
ID CVE (Common Vulnerabilities & Exposures), que corresponde à regra de proteção. Para vulnerabilidades não-CVE, um traço duplo (--) é exibido.
Gravidade do risco
A gravidade da vulnerabilidade, incluindo:
- Alto
- Médio
- Baixo
Tipo de aplicativo
O tipo de aplicativo para o qual a regra de proteção é usada. Para obter detalhes sobre os tipos de aplicativos que o WAF pode proteger, consulte Tabela 5.
Tipo de proteção
O tipo da regra de proteção. O WAF pode descobrir injeção SQL, injeção de comandos, ataques XSS, injeção de entidade externa XML (XXE), injeção de linguagem de expressão (EL), CSRF, SSRF, inclusão de arquivos locais, inclusão de arquivos remotos, trojans de sites, rastreadores maliciosos, ataques de fixação de sessão, vulnerabilidades de desserialização, execução de comandos remotos, vazamento de informações, ataques DoS, vazamento de código-fonte / dados.
Tabela 5 Tipos de aplicativos que o WAF pode proteger 4images
Dragon-Fire IDS
Log4j2
ProjectButler
A1Stats
Drunken Golem GP
Loggix
Pulse Secure
Achievo
Drupal
lpswitch IMail
Quest CAPTCHA
Acidcat CMS
DS3
Lussumo Vanilla
QuickTime Streaming Server
Activist Mobilization Platform
Dubbo
MAGMI
R2 Newsletter
AdaptBB
DynPG CMS
ManageEngine ADSelfService Plus
Radware AppWall
Adobe
DZCP basePath
MassMirror Uploader
Rezervi root
Advanced Comment System
ea-gBook inc ordner
Mavili
Ruby
agendax
EasyBoard
MAXcms
RunCMS
Agora
EasySiteEdit
ME Download System
Sahana-Agasti
AIOCP
e-cology
Mevin
SaurusCMS CE
AjaxFile
E-Commerce
Microsoft Exchange Server
School Data Navigator
AJSquare
Elvin
Moa Gallery MOA
Seagull
Alabanza
Elxis-CMS
Mobius
SGI IRIX
Alfresco Community Edition
EmpireCMS
Moodle
SilverStripe
AllClubCMS
EmuMail
Movabletype
SiteEngine
Allwebmenus Wordpress
eoCMS
Multi-lingual E-Commerce
Sitepark
Apache
E-Office
Multiple PHP
Snipe Gallery
Apache APISIX Dashboard
EVA cms
mxCamArchive
SocialEngine
Apache Commons
eXtropia
Nakid CMS
SolarWinds
Apache Druid
EZPX Photoblog
NaviCOPA Web Server
SQuery
Apache Dubbo
F5 TMUI
NC
Squid
Apache Shiro
Faces
NDS iMonitor
StatCounteX
Apache Struts
FAQEngine
Neocrome Seditio
Subdreamer-CMS
Apache Tomcat
FASTJSON or JACKSON
NetIQ Access Manager
Sumsung IOT
Apache-HTTPD
FCKeditor
Netwin
Sun NetDynamics
Apple QuickTime
FileSeek
Nginx
SuSE Linux Sdbsearch
ardeaCore
fipsCMSLight
Nodesforum
SweetRice-2
AROUNDMe
fipsForum
Nucleus Plugin Gallery
Tatantella
Aurora Content Management
Free PHP VX Guestbook
Nucleus Plugin Twitter
Thecartpress Wordpress
AWCM final
FreeSchool
Nukebrowser
Thinkphp
AWStats
FreshScripts
NukeHall
ThinkPHP5 RCE
Baby Gekko
FSphp
Nullsoft
Tiki Wiki
BAROSmini Multiple
FusionAuth
Ocean12 FAQ Manager
Tomcat
Barracuda Spam
Gallo
OCPortal CMS
Trend Micro
BizDB
GetSimple
Open Education
Trend Micro Virus Buster
Blackboard
GetSimple CMS
OpenMairie openAnnuaire
Tribal Tribiq CMS
BLNews
GLPI
OpenPro
TYPO3 Extension
Caldera
GoAdmin
openUrgence Vaccin
Uebimiau
Cedric
Gossamer Threads DBMan
ORACLE Application Server
Uiga Proxy
Ciamos CMS
Grayscalecms
Oramon
Ultrize TimeSheet
ClearSite Beta
Hadoop
OSCommerce
VehicleManager
ClodFusion Tags
Haudenschilt Family
PALS
Visitor Logger
CMS S Builder
Havalite
Pecio CMS
VMware
ColdFusion
HIS Auktion
PeopleSoft
VoteBox
ColdFusion Tags
HP OpenView Network Node Manager
Persism Content Management
WayBoard
Commvault CommCell CVSearchService
HPInsightDiagnostics
PhotoGal
WebBBS
Concrete5
Huawei D100
PHP Ads
WebCalendar
Confluence Server and Data Center
HUBScript
PHP Classifieds
WEB-CGI
Coremail
IIS
PHP CMS
WebFileExplorer
Cosmicperl Directory Pro
iJoomla Magazine
PHP Paid 4 Mail Script
WebGlimpse
CPCommerce
ILIAS
PHPAddressBook
webLogic
DataLife Engine
Indexu
PHP-Calendar
WebLogic Server wls9-async
DCScripts
IRIX
phpCow
Webmin
DDL CMS
JasonHines PHPWebLog
PHPGenealogy
WEB-PHP Invision Board
DELL TrueMobile
JBOSS
PHPGroupWare
WebRCSdiff
Digitaldesign CMS
JBossSeam
phpMyAdmin
Websense
Dir2web
Joomla
phpMyAdmin Plugin
WebSphere
Direct News
JRE
PHPMyGallery
WikyBlog WBmap
Discourse
jsfuck
PHPNews
WordPress
Diskos CMS Manager
justVisual
Pie Web Masher
WORK system
DiY-CMS
Katalog Stron Hurricane
PlaySMS
Wpeasystats Wordpress
D-Link
KingCMS
Plogger
XOOPS
DMXReady Registration Manager
koesubmit
Plone
Xstream
DoceboLMS
Kontakt Formular
PointComma
YABB SE
Dokuwiki
KR-Web
Postgres
YP Portal MS-Pro Surumu
dompdf
Landray
PrestaShop
ZenTao
DotNetNuke
Livesig Wordpress
ProdLer
Zingiri Web Shop Wordpress
ZOHO ManageEngine
-
-
-
Exemplo - Bloqueando ataques de injeção de SQL
Se o nome de domínio www.example.com tiver sido conectado ao WAF, execute as etapas a seguir para verificar se o WAF pode bloquear ataques de injeção SQL.
- Ative a General Check na Basic Web Protection e defina o modo de proteção para Block.
Figura 4 Ativando Verificação Geral
- Ative a proteção básica da Web do WAF.
Figura 5 Ativando a proteção básica da Web do WAF
- Limpe o cache do navegador e insira uma injeção SQL simulada (por exemplo, 1=1 ou http://www.example.com?id=') na caixa de endereço.
O WAF bloqueia a solicitação de acesso. Figura 6 mostra uma página de bloco de exemplo.
- Acesse o console do WAF. No painel de navegação à esquerda, escolha Events. Veja o evento na página Events.
Figura 7 Evento de injeção SQL
