Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda> Web Application Firewall> Guia de usuário> Configuração da regra> Configuração de uma regra de origem de ataque conhecido
Atualizado em 2023-09-21 GMT+08:00
Ver PDF

Configuração de uma regra de origem de ataque conhecido

Se o WAF bloquear uma solicitação mal-intencionada por endereço IP, cookie ou parâmetros, você poderá configurar uma regra de origem de ataque conhecida para permitir que o WAF bloqueie automaticamente todas as solicitações da origem de ataque por uma duração de bloqueio definida na regra de origem de ataque conhecida. Por exemplo, se uma solicitação maliciosa bloqueada tiver origem em um endereço IP (192.168.1.1) e você definir a duração do bloqueio para 500 segundos, o WAF bloqueará o endereço IP por 500 segundos após a regra de origem de ataque conhecida entrar em vigor.

Se você ativou projetos corporativos, verifique se tem todas as permissões de operação para o projeto em que sua instância do WAF está localizada. Em seguida, você pode selecionar o projeto na lista suspensa Enterprise Project e configurar políticas de proteção para os nomes de domínio no projeto.

Pré-requisitos

Um site foi adicionado ao WAF.

Restrições

  • Para que uma regra de origem de ataque conhecida entre em vigor, ela deve ser ativada ao configurar regras básicas de proteção da Web, proteção precisa, lista negra ou lista branca.
  • Leva vários minutos para que uma nova regra entre em vigor. Depois que a regra entrar em vigor, os eventos de proteção desencadeados pela regra serão exibidos na página Events.
  • Antes de adicionar uma regra de origem de ataque conhecida para solicitações mal-intencionadas bloqueadas por Cookie ou Params, um identificador de tráfego deve ser configurado para o nome de domínio correspondente. Para mais detalhes, veja Configuração de um identificador de tráfego para uma origem de ataque conhecida.

Limitações da especificação

  • Você pode configurar até seis tipos de bloqueio. Cada tipo pode ter uma regra de origem de ataque conhecida configurada.
  • O tempo máximo que um endereço IP pode ser bloqueado é de 30 minutos.

Procedimento

  1. Efetue login no console de gerenciamento.
  2. Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
  3. Clique em no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance.
  4. No painel de navegação, escolha Website Settings.
  5. Na coluna Policy da linha que contém o nome de domínio, clique em Configure Policy.
  6. Na área de configuração Known Attack Source, altere o Status, se necessário, e clique em Customize Rule para ir para a página Known Attack Source. Figura 1 mostra um exemplo.

    Figura 1 Configuração de origem de ataque conhecida

  7. No canto superior esquerdo das regras de origem de ataque conhecidas, clique em Add Known Attack Source Rule.
  8. Na caixa de diálogo exibida, especifique os parâmetros fazendo referência a Tabela 1. Figura 2 mostra um exemplo.

    Figura 2 Adicionar Regra de Origem de Ataque Conhecido
    Tabela 1 Parâmetros de origem de ataque conhecidos

    Parâmetro

    Descrição

    Valor de exemplo

    Tipo de bloqueio

    Especifica o tipo de bloqueio. As opções são:

    • Long-term IP address blocking
    • Short-term IP address blocking
    • Long-term Cookie blocking
    • Short-term Cookie blocking
    • Long-term Params blocking
    • Short-term Params blocking

    Long-term IP address blocking

    Duração do Bloqueio (s)

    A duração do bloqueio deve ser um número inteiro e variar de:

    • (300, 1800] para bloqueio a longo prazo
    • (0, 300] para bloqueio de curto prazo

    500

    Descrição da regra

    Uma breve descrição da regra. Este parâmetro é opcional.

    Nenh

  9. Clique em OK . Em seguida, você pode exibir a regra de origem de ataque conhecida adicionada na lista.

    Figura 3 Regras de origem de ataque conhecidas

Outras operações

  • Para modificar uma regra, clique em Modify na linha que contém a regra.
  • Para excluir uma regra, clique em Delete na linha que contém a regra.

Exemplo de Configuração - Bloqueando Fonte de Ataque Conhecida Identificada por Cookie

Suponha que o nome de domínio www.example.com foi conectado ao WAF e um visitante enviou uma ou mais solicitações maliciosas por meio do endereço IP XXX.XXX.248.195. Você deseja bloquear solicitações de acesso a partir deste endereço IP e cujo cookie é jsessionid por 10 minutos. Consulte as etapas a seguir para configurar uma regra e verificar seu efeito.

  1. Na página Website Settings, clique em www.example.com para ir para a página de informações básicas.
  2. Na área Traffic Identifier configure o cookie no campo Session Tag.

    Figura 4 Identificador de tráfego

  3. Adicione uma fonte de ataque conhecida, selecione Long-term Cookie blocking para Blocking Type, e defina a duração do bloco para 600 segundos.

    Figura 5 Adicionando uma regra de origem de ataque conhecida baseada em Cookie

  4. Habilitar a proteção de origem de ataque conhecida.

    Figura 6 Configuração de origem de ataque conhecida

  5. Adicione uma regra de lista negra e lista branca para bloquear XXX.XXX.248.195. Selecione Long-term Cookie blocking para Known Attack Source.

    Figura 7 Especificando uma regra de origem de ataque conhecida

  6. Limpe o cache do navegador e acesse o http://www.example.com.

    Quando uma solicitação do endereço IP XXX.XXX.248.195, o WAF bloqueia o acesso. Quando o WAF detecta que o cookie da solicitação de acesso do endereço IP é jsessionid, o WAF bloqueia a solicitação de acesso por 10 minutos.

    Figura 8 Página Bloquear

  7. Acesse o console do WAF. No painel de navegação à esquerda, escolha Events. Veja o evento na página Events.

    Figura 9 Exibindo Eventos - Eventos de Origem de Ataque Conhecidos

Tópico principal: Configuração da regra