Configuração de uma regra de proteção precisa

Pré-requisitos

Um site foi adicionado ao WAF.

• Para o modo de nuvem, consulte Conexão de um site ao WAF (Modo Nuvem).
• Para o modo dedicado, veja Conexão de um site ao WAF (Modo Dedicado).

Restrições

• O campo Response não pode ser configurado na edição padrão, antiga edição profissional.
• Full Detection não está disponível na edição padrão do WAF (antiga edição profissional) e para o WAF na nuvem faturado com base em pagamento por uso.
• A função de tabela de referência não está disponível na edição padrão do WAF (antiga edição profissional) e no WAF na nuvem faturado com base em pagamento por uso.

• Se quiser especificar o campo Resposta, selecione as seguintes regiões:
  • CN-Hong Kong
  • AP-Bangkok
• Leva vários minutos para que uma nova regra entre em vigor. Depois que a regra entrar em vigor, os eventos de proteção desencadeados pela regra serão exibidos na página Events.
• Se configurar a Protective Action para Block para obter uma regra de protecção precisa, pode configurar uma regra de origem de ataque conhecida referindo-se a. O WAF bloqueará solicitações que correspondam ao endereço IP configurado, cookie ou parâmetros por um período de tempo configurado como parte da regra.

Cenários de aplicação

Regras de proteção precisas são usadas para proteção em segundo plano anti-leeching e gerenciamento de sites.

Procedimento

1. Efetue login no console de gerenciamento.
2. Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
3. Clique em no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance.
4. No painel de navegação, escolha Website Settings.
5. Na coluna Policy da linha que contém o nome de domínio, clique em Configure Policy.
6. Na área de configuração Precise Protection, altere o Status conforme necessário e clique em Customize Rule para acessar a página Precise Protection.
   Figura 1 Área de configuração de proteção precisa
   

7. Na página Precise Protection, defina Detection Mode. Figura 2 mostra um exemplo.
   Dois modos de detecção estão disponíveis:

   • Instant Detection: Se uma solicitação corresponder a uma regra de proteção precisa configurada, o WAF encerrará imediatamente a detecção de ameaças e bloqueará a solicitação.
   • Full Detection: Se uma solicitação corresponder a uma regra de proteção precisa configurada, o WAF concluirá a verificação primeiro e, em seguida, bloqueará todas as solicitações que corresponderem à regra de proteção precisa configurada.
     Figura 2 Configurando o modo de detecção
     

8. Clique em Add Rule.
9. Na caixa de diálogo exibida, adicione uma regra referindo-se a Tabela 1 e Exemplo de configuração - Bloqueando um determinado tipo de solicitações de ataque.

   As configurações mostradas em Figura 3 são usadas como exemplo. Se um visitante tentar acessar um URL que contenha /adminO WAF bloqueará a solicitação.

   

   Para garantir que o WAF bloqueie apenas solicitações de ataque, configure a Protective Action para Log only primeiro e verifique se as solicitações normais estão bloqueadas na página Events. Se nenhuma solicitação normal for bloqueada, configure Protective Action para Block.

   Figura 3 Adicionar regra de proteção precisa
   

   Tabela 1 Parâmetros de regra

   Parâmetro	Descrição	Valor de exemplo
   Ação Protetora	Você pode selecionar Block, Allow, ou Log only. Valor predefinido: Block	Block
   Fonte de ataque conhecida	Se você definir Protective Action como Block, poderá selecionar um tipo de bloqueio para uma regra de origem de ataque conhecida. Em seguida, o WAF bloqueia solicitações correspondentes ao IP, Cookie, ou Params por um período de tempo que depende do tipo de bloqueio selecionado.	Long-term IP address blocking
   Data efetiva	Selecione Immediate para ativar a regra imediatamente ou selecione Custom para configurar quando você deseja que a regra seja ativada.	Immediate
   Lista de Condição	Clique em Add para adicionar condições. Pelo menos uma condição precisa ser adicionada. Você pode adicionar até 30 condições a uma regra de proteção. Se mais de uma condição for adicionada, todas as condições devem ser atendidas para que a regra seja aplicada. Uma condição inclui os seguintes parâmetros: Os parâmetros para configurar uma condição são descritos a seguir: Field Subfield: Configurar este campo somente quando Parâmetros, Biscoito, ou Cabeçalho é selecionado para Field. AVISO: O comprimento de um subcampo não pode exceder bytes de 2 048. Apenas números, letras, sublinhados (_) e hifens (-) são permitidos. Logic: Selecione um relacionamento lógico na lista suspensa. NOTA: Se Include any value, Exclude any value, Equal to any value, Not equal to any value, Prefix is any value, Prefix is not any of them, Suffix is any value, ou Suffix is not any of them está selecionado, selecione uma tabela de referência existente na lista suspensa Content. Para mais detalhes, consulte Adição de uma tabela de referência. Exclude any value, Not equal to any value, Prefix is not any of them, e Suffix is not any of them indica, respectivamente, que o WAF realiza a ação de proteção (bloquear, permitir, ou log only) quando o campo na solicitação de acesso não contém, não é igual a, ou o prefixo ou sufixo não é qualquer valor definido na tabela de referência. Por exemplo, suponha que o campo Path esteja definido como Exclude any value e a tabela de referência de test esteja selecionada. Se test1, test2 e test3 estiverem definidos na tabela de referência de test, o WAF executará a ação de proteção quando o caminho da solicitação de acesso não contiver test1, test2, ou test3. Content: Insira ou selecione o conteúdo da correspondência de condição. NOTA: Para obter mais detalhes sobre as configurações em geral, consulte Tabela 2.	Path Include /admin User Agent Prefix is not mozilla/5.0 IP Equal to 192.168.2.3 Cookie key1 Prefix is not jsessionid
   Prioridade	Prioridade de regra. Se você tiver adicionado várias regras, as regras serão correspondidas por prioridade. Quanto menor o valor definido, maior a prioridade. AVISO: Se várias regras precisas de controle de acesso tiverem a mesma prioridade, o WAF corresponderá às regras na seqüência de tempo em que as regras forem adicionadas.	5
   Descrição da regra	Uma breve descrição da regra. Este parâmetro é opcional.	Nenhum

   Tabela 2 Configurações da lista de condições

   Campo	Exemplo de subcampo	lógico	Exemplo de Conteúdo
   Path: Parte de um URL que não inclui um nome de domínio. Este valor suporta apenas correspondências exatas. Por exemplo, se o caminho a ser protegido é /admin, Path deve ser definido como /admin.	Nenhum	Selecione um relacionamento lógico na lista suspensa.	/buy/phone/ AVISO: Se Path estiver definido para /, todos os caminhos do site estão protegidos.
   User Agent: Um agente de usuário do scanner a ser verificado.	Nenh		Mozilla/5.0 (Windows NT 6.1)
   IP: Um endereço IP do visitante para a proteção.	Nenh		XXX.XXX.1.1
   Params: Um parâmetro de solicitação.	sttl		201901150929
   Referer: Um recurso de solicitação definido pelo usuário. Por exemplo, se o caminho protegido for /admin/xxx e você não quiser que os visitantes acessem a página do www.test.com, defina Content como http://www.test.com.	Nenhum		http://www.test.com
   Cookie: Um pequeno pedaço de dados para identificar os visitantes da web.	name		JSESSIONID
   Header: Um cabeçalho HTTP definido pelo usuário.	Accept		text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
   Method: o método de requisição definido pelo usuário.	Nenhum		GET, POST, PUT, DELETE, e PATCH
   Request Line: Comprimento de uma linha de solicitação definida pelo usuário.	Nenhum		50
   Request: Comprimento de uma solicitação definida pelo usuário. Ele inclui o cabeçalho da solicitação, a linha da solicitação e o corpo da solicitação.	Nenhum		Nenhum
   Protocol: o protocolo da solicitação.	Nenhum		HTTP
   Response Code: Código de status retornado à solicitação.	Nenhum	Igual a Não é igual a Igual a qualquer valor Não é igual a nenhum valor	404
   Response Length: o comprimento da resposta ao pedido.	Nenhum	Comprimento do subcampo igual a Comprimento do subcampo não igual a Comprimento do subcampo maior que Comprimento do subcampo menor que	Nenhum
   Response Time: tempo de resposta ao pedido.	Nenhum	Comprimento do subcampo igual a Comprimento do subcampo diferente de Comprimento do subcampo maior que Comprimento do subcampo menor que	Nenhum
   Response Header: cabeçalho da resposta.	Nenhum	Incluir Excluir Igual a Não é igual a	Nenhum
   Response Body: corpo da mensagem de resposta	Nenhum	Incluir Excluir Inclua qualquer valor Excluir qualquer valor	Nenhum

   

   Os campos Response Code, Response Length, Response Time, Response Header, e Response Body são suportados apenas pela edição profissional (antiga edição empresarial), edição platinum (antiga edição final) e instância dedicada do WAF nas seguintes regiões:

   • CN-Hong Kong
   • AP-Bangkok

10. Clique em OK. Você pode então exibir a regra de proteção precisa adicionada na lista de regras de proteção.
    Figura 4 Regras de proteção
    
    • Para desativar uma regra, clique em Disable na coluna Operation da regra. O Rule Status padrão é Enabled.
    • Para modificar uma regra, clique em Modify na linha que contém a regra.
    • Para excluir uma regra, clique em Delete na linha que contém a regra.

Efeito de proteção

Se você configurou uma regra de proteção precisa como mostrada em Figura 3 para seu nome de domínio, para verificar se o WAF está protegendo seu site (www.example.com) contra a regra:

1. Limpe o cache do navegador e digite o nome do domínio na barra de endereços para verificar se o site está acessível.
   • Se o site estiver inacessível, conecte o nome de domínio do site ao WAF seguindo as instruções em Passo 4: Encaminhamento do tráfego do site para o WAF.
   • Se o site estiver acessível, acesse 2.

2. Limpe o cache do navegador e digite http://www.example.com/admin (ou qualquer página contendo /admin) na barra de endereços. Normalmente, o WAF bloqueia as solicitações que atendem às condições e retorna a página de bloqueio.
3. Retorne ao console do WAF. No painel de navegação, clique em Events. Na página exibida, visualize ou baixe dados de eventos.

Exemplo de configuração - Bloqueando um determinado tipo de solicitações de ataque

A análise de um tipo específico de ataque de pingback de WordPress mostra que o campo User Agent contém WordPress (Agente de Usuário). Consulte Figura 5.

Figura 5 WordPress ataque de pingback

Uma regra precisa, como mostrado na figura, pode bloquear esse tipo de ataque.

Figura 6 Configuração do User Agent

Exemplo de configuração - Bloqueando solicitações de ataque para um determinado URL

Se um grande número de endereços IP estiver acessando uma URL que não existe, configure a seguinte regra de proteção para bloquear tais solicitações para reduzir o uso de recursos no servidor de origem. Figura 7 mostra a configuração da regra.

Figura 7 Bloqueio de solicitações para um URL específico

Exemplo de Configuração - Bloqueando Solicitações com Campos nulos

Você pode configurar regras de proteção precisas para bloquear um campo nulo. Por exemplo, para proteger o nome de domínio www.example.com de solicitações com Referer vazio, configure uma regra como mostrado em Figura 8.

Figura 8 Bloqueando solicitações com Referer vazio

Exemplo de Configuração - Bloqueando Tipos de Arquivo Especificados (ZIP, TAR e DOCX)

Você pode configurar tipos de arquivo que correspondam ao campo de caminho para bloquear arquivos específicos de determinados tipos. Por exemplo, se você quiser block.zip arquivos, você pode configurar uma regra de proteção precisa como mostrado em Figura 9 para bloquear solicitações de acesso de arquivos .zip.

Figura 9 Bloqueio de solicitações de tipos de arquivos específicos

Exemplo de Configuração - Impedindo Hotlinking

Você pode configurar uma regra de proteção com base no campo Referer para permitir que o WAF bloqueie o hotlinking de um site específico. Se você descobrir que, por exemplo, solicitações do https://abc.blog.com estão roubando imagens do seu site, configure uma regra para bloquear essas solicitações.

Figura 10 Impedindo o hotlinking

Exemplo de configuração - Permitindo que um endereço IP especificado acesse seu site

Você pode configurar duas regras de proteção precisas, uma para bloquear todas as solicitações, como mostrado na Figura 11, mas outra para permitir o acesso de um endereço IP específico, como mostrado na Figura 12.

Figura 11 Bloqueando todas as solicitações

Figura 12 Permitir o acesso a um endereço IP especificado

Exemplo de configuração - Permitindo que um endereço IP específico acesse um determinado URL

Você pode configurar várias condições no campo Condition List. Se uma solicitação de acesso atender às condições da lista, o WAF permitirá que a solicitação de um endereço IP específico acesse um URL especificado. Figura 13 mostra um exemplo.

Figura 13 Permitir que endereços IP específicos acessem URLs especificados