Oracle Cloud Infrastructure - Dokumentation

Erste Schritte mit Edge-Policys

Mit Web Application Firewall Edge-Policys verwalten

Bevor Sie beginnen

Wichtige Konzepte zum WAF-Service finden Sie im Überblick über Web Application Firewall.

Um den WAF-Service zu verwenden, müssen folgende Voraussetzungen erfüllt sein:

  • Stellen Sie sicher, dass Sie über die Berechtigungen der erforderlichen IAM-Service-Policy verfügen.
  • Wir empfehlen, ein separates Compartment für die WAF-Policy zu verwenden, damit die Verwaltung einfacher und sicherer ist.
  • Eine Hauptwebanwendungsdomain.
  • IP-Adresse des LBaaS oder ein anderer öffentlicher Endpunkt der Anwendung.
  • Möglichkeit, DNS-Datensätze für die Domain zu aktualisieren
  • Der WAF-Service unterstützt nur Traffic auf den Ports 80/443. Nachdem Anforderungen jedoch WAF auf den Ports 80/443 erreicht haben, können wir die Anforderungen an jeden erforderlichen Port an Ihren Ursprungsserver senden. Siehe folgendes Beispiel:

    Endbenutzer → Port 80/443 → WAF → Port 443/8000/555/*** → Ursprungsserver

    Stellen Sie sicher, dass Ihre Anwendung nicht auf anderen Ports ausgeführt wird.
    Hinweis

    Sie können WAF nicht für Traffic wie SSH, FTP oder SMTP verwenden.

Wenn Sie außerdem planen, Ihre Site auf HTTPS/443 auszuführen, benötigen Sie Folgendes:

  • Öffentliches Zertifikat für den vollqualifizierten Domainnamen (FQDN) der Anwendung
  • Entsprechender Private Key für die Site
  • Zertifikat im PEM-Format
  • Vollständiges Kettenzertifikat (Root, Intermediate, Ursprungsserver)
    Hinweis

    SSL-Zertifikate können nur auf die Hauptanwendung der Policy angewendet werden.

Änderungen an Edge-Policys nehmen je nach Änderung in der Regel 10 bis 30 Minuten in Anspruch. Die Propagierung dauert so lange, da Hunderte von Knoten vorhanden sind, an die neue Konfigurationen übertragen werden. Die folgenden Funktionsänderungen werden in der Regel innerhalb von 10 bis 15 Minuten propagiert:

  • Bot-Policys
  • Challenge für menschliche Interaktion (HIC)
  • Fingerabdruck-Challenge des Geräts
  • Javascript-Challenge
  • CAPTCHA-Challenge
  • Ausnaheliste der vertrauenswürdigen Bots
  • Zugriffsregeln
  • Threat Intelligence
  • IP-Listen
  • IP-Ausnahmenliste

Beachten Sie die folgenden Informationen, wenn Sie mit Edge-Policys arbeiten:

  • IPv6 wird derzeit nicht unterstützt.

  • WAF prüft den Antwortbody, ändert ihn aber nicht.
  • Der Caching-Grenzwert beträgt 1 GB pro Policy.
  • Bei Einschränkungen beim Hochladen der Dateigröße beträgt der Grenzwert 1 GB. Beachten Sie bei Einschränkungen der Dateigröße Folgendes:
    • Das Limit hängt nicht vom Uploadtyp ab, wie Bilder, Videos, Binärdateien usw.
    • Der Content-Type-Header wirkt sich nicht auf das Limit aus. Basierend auf dem Content-Type-Header werden nur unterschiedliche Schutzregeln angewendet.
    • Uploads mit Chunk- oder Streams wirken sich nicht auf das Limit aus. Im Puffermodus beträgt der Grenzwert für Uploads und Downloads 1 GB. Einige andere Modi, einschließlich Streaming des Antwortbeins, ignorieren jedoch den Grenzwert von 1 GB.
    • WAF-Verbindungen werden selten abgebrochen. Eine Stornierung kann aufgrund von großen Uploads oder langsamen Verbindungen auftreten. Nach dem erneuten Laden des Edge-Knotens kann eine Verbindung abgebrochen werden, wenn ein "Cleanup"-Prozess ausgeführt wird, wenn der Anforderungs- oder Antwortzyklus zu lange dauert.
  • Bei der Verwendung von WAF mit Content-Streaming-Services können die Content-Streaming-Services betroffen sein, da unsere Schutzregeln vor der Analyse Pufferung des vollständigen HTML-Inhalts erfordern. Der gesamte Inhalt muss innerhalb unserer Kern-Engine für Schutzregeln zwischengespeichert werden, was zu langsamen Antworten oder Ereignissen führen kann, die den Streaming-Inhalt nicht anzeigen.
  • Sie können WAF-Policy-Backups mit der OCI-CLI erstellen oder wiederherstellen. Extrahieren Sie die vollständige JSON-Datei der Webanwendung, und erstellen Sie sie dann in Teilen neu. Es wird empfohlen, zuerst die Haupteinstellungen und dann die Sicherheitsherausforderungen und -funktionen der Webanwendung neu zu erstellen.
  • Mit dem folgenden Befehl können Sie WebSocket für eine bestimmte URL über die CLI aktivieren:

    oci waas policy-config update --waas-policy-id ocid1.waaspolicy.oc1..[WAAS POLICY OCID] --websocket-path-prefixes '["/url/url/websocket"]'

    Hinweis

    Die Unterstützung WebSocket verhindert die WAF-Verarbeitung in den angegebenen Pfaden. Wenn eine WAF-Regel aktiviert ist, werden die Anforderungen, die zu der in der Konfiguration ausgeschlossenen URL geleitet werden, nicht analysiert. Andere Gegenkennzahlen, wie die Human Interaction Challenge und JavaScript Challenge, können jedoch aktiviert werden, um einen zusätzlichen Sicherheitslayer für die WebSocket-URL bereitzustellen.
  • Der "Schlüssel" im generierten Threat Intelligence Feed ist für jede WAF-Policy unterschiedlich.

  • Sie können nur dann Änderungen an Edge-Policys vornehmen, wenn der Policy-Status ACTIVE lautet.

Kostenschätzung für die Verwendung von WAF

Anhand dieser Informationen können Sie die Kosten für die Verwendung des WAF-Service schätzen.
Sie können die Kosten wie folgt schätzen:
  1. Gehen Sie zu: https://www.oracle.com/cloud/cost-estimator.html.
  2. Klicken Sie auf Suchen, und suchen Sie nach Networking - WAF.
  3. Klicken Sie auf Hinzufügen.
  4. Klicken Sie unter Konfiguration hinzufügen auf das Menü neben dem Servicenamen, wählen Sie Nach SKU hinzufügen aus, und geben Sie die SKU ein.
  5. Klicken Sie auf Hinzufügen.

    Im Kostenrechner steht "Instanz" für die WAF-Policy.

Ersteinrichtung der WAF-Policy

1. Edge Policy zum Weiterleiten von Traffic über die WAF erstellen

Erstellen Sie zunächst eine Edge Policy, um den Traffic über die WAF ohne aktivierte Regeln weiterzuleiten. Durch das Erstellen einer Policy ohne Regeln wird sichergestellt, dass es keine Einbußen durch einen Reverse-Proxy vor der Anwendung gibt.

So erstellen Sie eine Edge Policy

  1. Wählen Sie die Region und das Compartment für die Verwaltung der Policy aus (es gibt keine Einschränkung hinsichtlich der Koexistenz von WAF mit Load Balancer oder anderen Anwendungsressourcen in Oracle Cloud Infrastructure).

  2. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Web Application Firewall die Option Policys aus.

  3. Klicken Sie auf WAF-Policy erstellen.

  4. Suchen Sie unten auf der Seite "Basisinformationen" nach Folgendem:

    Verwenden Sie den Legacy-Workflow hier, wenn Sie Nicht-OCI-Webanwendungen sichern müssen.

  5. Klicken Sie auf den Link, um das Dialogfeld "Edge Policy erstellen" anzuzeigen.
  6. Geben Sie folgende Werte ein:
    • Name: Ein eindeutiger Name für die Policy.
    • Domains:
      • Primäre Domain: Der vollqualifizierte Domainname (FQDN) der Anwendung, in der die Policy angewendet wird.
      • Zusätzliche Domains: (Optional) Subdomains, in denen die Policy angewendet wird.
        Hinweis

        Platzhalterdomains werden nur als zusätzliche Domains und nur über API und CLI akzeptiert.

    • WAF-Ursprung: Der Host oder die IP-Adresse der öffentlichen, internetfähigen Anwendung, die geschützt wird.
      • Name des Ursprungs: Ein eindeutiger Name für den Ursprung.
      • URI: Geben Sie den öffentlichen Endpunkt (IPv4 oder FQDN) der Anwendung ein.
      • HTTPS-Port: Der Port, der für die sichere HTTP-Verbindung verwendet wird. Der Standardport ist 443.
      • HTTP-Port: Der HTTP-Port, den der Ursprung überwacht. Der Standardport ist 80.
      • Header: (Optional)
        • Headername: Der im HTTP-Anforderungsheader angezeigte Name sowie der Headerwert, der hinzugefügt und mit allen Anforderungen an den Ursprungsserver übergeben werden kann.
        • Headerwert: Gibt die vom Header angeforderten Daten an.
    • Tags: Wenn Sie berechtigt sind, eine Ressource zu erstellen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen verfügen, den Tag-Namespace zu verwenden. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
  7. Klicken Sie auf WAF-Policy erstellen. Der Überblick über die WAF-Policy wird angezeigt. Die Policy wird innerhalb von 15 Minuten nach dem Erstellen aktiv.

    Weitere Informationen finden Sie unter Edge Policys verwalten.

2. Keepalive-Timeout des Ursprungs aktualisieren

Die Edge Policy erfordert, dass die Keepalive-Timeouts des Ursprungs (Load Balancer oder Webserver) auf mindestens 301 Sekunden gesetzt werden, da der Upstreamtimeoutwert 300 Sekunden beträgt. Die zusätzliche Sekunde soll sicherstellen, dass die Verbindung ausreichend Zeit für die Neuverhandlung hat, wenn Knoten Verbindungen erstellen, um Verbindungsprobleme zu vermeiden. Das gilt für API-Aufrufe, da wir unsere OCI-Netzwerkmultiplexing-Technologie verwenden, die Netzwerkengpässe reduziert und die Performance durch Optimierung des TCP-Protokolls verbessert.

So testen Sie den Upstream-Keepalive-Timeout

HTTP-Prüfung:

  1. Senden Sie die Anforderung für den Ursprungs- oder Upstreamserver. Führen Sie den folgenden Befehl aus:
    time telnet www-origin.example.com 80
    Beispielausgabe:
    Trying 12.34.56.78...
Connected to lb65-soc-191485947.us-east-1.elb.amazonaws.com.
Escape character is '^]'.
  2. Senden Sie eine GET-Anforderung, indem Sie die folgenden HTTP-Header eingeben:
    GET / HTTP/1.1
Host: www.example.com
Connection: keep-Alive
  3. Drücken Sie die EINGABETASTE zweimal, und warten Sie, bis die Session geschlossen oder getrennt wird.

HTTPS-Prüfung:

  1. Starten Sie die Anforderung für den Ursprungs- oder Upstreamserver. Führen Sie den folgenden Befehl aus:
    time openssl s_client -connect www-origin.example.com:443
  2. Senden Sie eine GET-Anforderung, indem Sie die folgenden HTTP-Header eingeben:
    GET / HTTP/1.1
Host: www.example.com
Connection: keep-Alive
  3. Drücken Sie die EINGABETASTE zweimal, und warten Sie, bis die Session geschlossen oder getrennt wird.
Sie erhalten die folgende Ausgabe. In diesem Beispiel zeigt der Abschnitt "real" die tatsächliche Gültigkeitsdauer der Session an (5,1 Minuten (301 Sekunden)):
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
... 

<!DOCTYPE html>
<html>
...
</html> 

Connection closed by foreign host.
real 5m1.962s
user 0m0.011s
sys 0m0.009s

Weitere Informationen finden Sie unter Ursprungsverwaltung.

3. Zertifikat und Schlüssel hochladen

In diesem Schritt wird davon ausgegangen, dass Ihre Site auf HTTPS/443 ausgeführt wird.

So laden Sie das Zertifikat und den Schlüssel hoch
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Web Application Firewall auf Policys.

    Öffnen Sie alternativ dazu die Seite "Web Application Firewall", und klicken Sie unter Ressourcen auf Policys.

    Die Seite "WAF-Policys" wird angezeigt.

  2. Wählen Sie in der Liste das Compartment aus.

    Alle WAF-Policys in diesem Compartment werden tabellarisch aufgelistet.

  3. (Optional) Wenden Sie einen oder mehrere der folgenden Filter an, um die angezeigten WAF-Policys einzugrenzen:

    • Bundesland

    • Name

    • Policy-Typ: Wählen Sie Edge Policy aus.

  4. Wählen Sie die Edge Policy aus, für die Sie das Zertifikat und den Schlüssel hochladen möchten.

    Das Dialogfeld "Edge-Policy-Details" wird angezeigt.

  5. Klicken Sie unter WAF-Policy auf Einstellungen.
    Die Liste "Einstellungen" wird angezeigt.
  6. Wählen Sie Allgemeine Einstellungen aus.
  7. Klicken Sie auf Edit.
    Das Dialogfeld "Einstellungen bearbeiten" wird angezeigt.
  8. Geben Sie folgende Werte an:
    • HTTPS-Unterstützung aktivieren: Aktivieren Sie dieses Kontrollkästchen, damit die gesamte Kommunikation zwischen dem Browser und der Webanwendung verschlüsselt wird.
      • Zertifikatsquelle: Wählen Sie eine der folgenden Methoden aus:
        • Zertifikat auswählen: Wählen Sie ein vorhandenes Zertifikat im Dropdown-Menü aus. Klicken Sie auf Compartment ändern, um ein Zertifikat in einem anderen Compartment auszuwählen.
        • Zertifikat und Private Key hochladen oder einfügen

          • Geben Sie ein gültiges SSL-Zertifikat im PEM-Format per Drag-and-Drop, durch Auswählen oder durch Einfügen ein. Außerdem müssen Sie Zwischenzertifikate einbeziehen (zuerst das das Zertifikat der Website). Siehe folgendes Beispiel:

            -----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Intermediate_Base64_encoded_certificate>
-----END CERTIFICATE-----

          • Private Key: Geben Sie einen gültigen Private Key im PEM-Format per Drag-and-Drop, durch Auswählen oder durch Einfügen in dieses Feld ein. Der Private Key darf nicht durch eine Passphrase geschützt sein. Siehe folgendes Beispiel:

            -----BEGIN PRIVATE KEY-----
<Base64_encoded_private_key>
-----END PRIVATE KEY-----
      • Selbstsigniertes Zertifikat: Aktivieren Sie dieses Feld, wenn Sie ein selbstsigniertes Zertifikat verwenden, um eine SSL-Warnung im Browser anzuzeigen.
      • HTTP-HTTPS-Umleitung: Wenn diese Option aktiviert ist, wird der gesamte HTTP-Traffic automatisch zu HTTPS umgeleitet.
      • Unterstützung für TLS-Protokolle: Wählen Sie ein TLS-Protokoll in der Dropdown-Liste aus.
        Achtung

        Die TLS-Versionen 1 und 1.1 sind veraltet und können nicht in Policy-Konfigurationen verwendet werden. Wenn Sie diese Versionen verwenden, kann ein Validierungsfehler auftreten. Verwenden Sie stattdessen die Version 1.2 oder 1.3.
      • SNI aktivieren: Server Name Indication (SNI) ist eine Erweiterung des TLS-Protokolls, mit der mehrere sichere Hostnamen von einer einzigen IP-Adresse bereitgestellt werden können.
      • Erweiterte Optionen
        • Antwortpufferung aktivieren: Aktivieren oder deaktivieren Sie die Pufferung der Antwort vom Ursprung.
        • Cachesteuerung beachtet: Aktivieren oder deaktivieren Sie das automatische Inhalts-Caching basierend auf dem Cache-Control-Header der Antwort.
        • Hinter CDN: Wenn Sie diese Option aktivieren, können IP-Adressen von der Clientanforderung erfasst werden, wenn WAF mit einem CDN verbunden ist.
  9. Klicken Sie auf Änderungen speichern.
Sie müssen Ihre Änderungen veröffentlichen, damit sie in Kraft treten. Siehe Änderungen veröffentlichen.

4. Anwendung testen (vor dem Deployment in der Produktion)

In diesem Schritt stellen Sie sicher, dass Anforderungen an die Web Application Firewall weitergeleitet werden und dass die Anwendung mit einem Reverse-Proxy in der Topologie weiterhin normal funktioniert.

Anwendung über einen Terminalbefehl testen
  1. Öffnen Sie ein Terminal.

    Führen Sie den folgenden Befehl für HTTP aus:

    curl -lvk http://<OCI_WAF_CNAME> -H "Host: <WEBAPP_DOMAIN>" -so /dev/null

    Führen Sie den folgenden Befehl für HTTPS aus:

    curl -lvk https://<OCI_WAF_CNAME> -H "Host: <WEBAPP_DOMAIN>" -so /dev/null
  2. Sie können auch eine DNS-Abfrage für <OCI_WAF_CNAME> für die WAF-Policy ausführen und eine der IP-Adressen aus der resultierenden Ausgabe kopieren.
    • Um eine DNS-Abfrage auszuführen, können Sie einen der folgenden Befehle verwenden:
      dig <OCI_WAF_CNAME>
      nslookup <OCI_WAF_CNAME>
    • Kopieren Sie eine der IP-Adressen aus der Ausgabe.
  3. Führen Sie den folgenden Befehl aus. Ersetzen Sie <WEBAPP_DOMAIN> durch Ihre WAF-Policy-Domain. Verwenden Sie Port 80 oder 443. Ersetzen Sie <OCI_NODE_IP> durch die IP-Adresse von OCI_WAF_CNAME.
    Query curl -vso/dev/null --resolve <WEBAPP_DOMAIN>:<PORT_80_OR_443>:<OCI_NODE_IP> https://<WEBAPP_DOMAIN>

    Ein 200-, 301-, 302- oder anderer erwarteter HTTP-Antwortcode wird zurückgegeben.

    Hinweis

    Wenn Sie einen 5XX-HTTP-Fehler erhalten, stellen Sie sicher, dass Sie die Firewalleinstellung aktualisiert haben, um unsere IP-Adressen zuzulassen. Wenn weiterhin ein Problem auftritt, öffnen Sie eine Serviceanfrage bei My Oracle Support. Geben Sie in der Supportanfrage die Compartment-OCID, die Policy-OCID, Erläuterungen zum Problem, eine HAR-Datei und einen Zeitpunkt an, zu dem das Problem begonnen hat.
Anwendung über einen Webbrowser testen

Um die Anwendung mit einer Hostdatei zu testen, benötigen Sie eine IP-Adresse, auf die Sie die Anwendung verweisen können. Unter der Policy sollten Sie den CNAME sehen, der Ihnen zugewiesen ist. Sie können die IP-Adresse abrufen, auf die Sie die Anwendung verweisen können.

  1. Öffnen Sie ein Terminal.
  2. Führen Sie eine DNS-Abfrage mit einem der folgenden Befehle aus:
    dig <OCI_WAF_CNAME>
    nslookup <OCI_WAF_CNAME>
  3. Kopieren Sie eine der drei IP-Adressen aus dem Antwortabschnitt der Ausgabe eines dig-Befehls, und fügen Sie sie in eine Hostdatei mit Ihrem Domainnamen ein.
  4. Nachdem Sie die Hostdatei gespeichert haben, öffnen Sie die Anwendung in einem Browser, und überprüfen Sie, ob sie wie erwartet funktioniert.

    Ein 200-, 301-, 302- oder anderer erwarteter HTTP-Antwortcode wird zurückgegeben.

    Hinweis

    Wenn Sie einen 5XX-HTTP-Fehler erhalten, stellen Sie sicher, dass Sie die Firewalleinstellung aktualisiert haben, um unsere IP-Adressen zuzulassen. Wenn weiterhin ein Problem auftritt, öffnen Sie eine Serviceanfrage bei My Oracle Support. Geben Sie in der Supportanfrage die Compartment-OCID, die Policy-OCID, Erläuterungen zum Problem, eine HAR-Datei und einen Zeitpunkt an, zu dem das Problem begonnen hat.
SSL testen
Mit den folgenden nützlichen Befehlszeilentools können Sie Zertifikate in einer Webanwendung validieren:
echo | openssl s_client -showcerts -servername <Domain> -connect <Domain>:443 2>/dev/null | openssl x509 -inform pem -noout -text
Achten Sie besonders auf das Gültigkeitsdatum und das Ablaufdatum des Zertifikats, die Verbindungsprobleme verursachen könnten:
..
Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
        Validity
            Not Before: Jun  5 03:15:10 2020 GMT
            Not After : Sep  3 03:15:10 2020 GMT
        Subject: CN = www.example.com
        Subject Public Key Info:
...

Sie können das Zertifikat auch über Drittanbieterwebsites wie SSL Shooper oder SSL Labs prüfen und dort die Validierung durchführen.

5. DNS aktualisieren und WAF aktivieren

Nachdem Sie bestätigt haben, dass die Webanwendung einwandfrei über WAF funktioniert, können Sie das DNS global aktualisieren.

In diesem Schritt aktualisieren Sie den CNAME für Ihre Zone, um Anforderungen von Internetclients an die Web Application Firewall weiterzuleiten. Verwenden Sie die folgenden Anweisungen, um diese DNS-Änderung in der Konsole vorzunehmen. Wenn Ihr DNS bei einem anderen Provider eingerichtet ist, finden Sie Anweisungen dazu in der entsprechenden Dokumentation.

So aktualisieren Sie den CNAME für Ihre Zone
  1. Wählen Sie im Überblick über die WAF-Policy auf der Registerkarte "Policy-Informationen" das CNAME-Ziel aus.
  2. Kopieren Sie das CNAME-Ziel in die Zwischenablage.
  3. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter DNS-Verwaltung die Option Zonen aus.

  4. Klicken Sie auf den Zonennamen der primären Domain, in der Sie den Datensatz aktualisieren möchten. Zonendetails und eine Liste der Datensätze werden angezeigt.

  5. Aktivieren Sie das Kontrollkästchen für den CNAME-Datensatz, und wählen Sie im Dropdown-Menü Aktionen die Option Bearbeiten aus.
  6. Fügen Sie im Dialogfeld Datensatz bearbeiten das CNAME-Ziel aus der Zwischenablage in das Feld "Ziel" ein.
  7. Klicken Sie auf Senden.
  8. Klicken Sie auf Änderungen veröffentlichen.
  9. Klicken Sie im Bestätigungsdialogfeld auf Änderungen veröffentlichen.

6. WAF sichern

Um die Web Application Firewall zu sichern, müssen Sie die Server so konfigurieren, dass sie Traffic von den WAF-Servern akzeptieren. Konfigurieren Sie die Ingress-Regeln des Ursprungs so, dass nur Verbindungen aus den folgenden CIDR-Bereichen akzeptiert werden.

CIDR-Bereiche
  • 129.146.12.128/25
  • 129.146.13.128/25
  • 129.146.14.128/25
  • 129.148.156.0/22
  • 129.213.0.128/25
  • 129.213.2.128/25
  • 129.213.4.128/25
  • 130.35.0.0/20
  • 130.35.112.0/22
  • 130.35.116.0/25
  • 130.35.120.0/21
  • 130.35.128.0/20
  • 130.35.144.0/20
  • 130.35.16.0/20
  • 130.35.176.0/20
  • 130.35.192.0/19
  • 130.35.224.0/22
  • 130.35.232.0/21
  • 130.35.240.0/20
  • 130.35.48.0/20
  • 130.35.64.0/19
  • 130.35.96.0/20
  • 130.35.228.0/22
  • 132.145.0.128/25
  • 132.145.2.128/25
  • 132.145.4.128/25
  • 134.70.16.0/22
  • 134.70.24.0/21
  • 134.70.32.0/22
  • 134.70.56.0/21
  • 134.70.64.0/22
  • 134.70.72.0/22
  • 134.70.76.0/22
  • 134.70.8.0/21
  • 134.70.80.0/22
  • 134.70.84.0/22
  • 134.70.88.0/22
  • 134.70.92.0/22
  • 134.70.96.0/22
  • 138.1.0.0/20
  • 138.1.104.0/22
  • 138.1.128.0/19
  • 138.1.16.0/20
  • 138.1.160.0/19
  • 138.1.192.0/20
  • 138.1.208.0/20
  • 138.1.224.0/19
  • 138.1.32.0/21
  • 138.1.40.0/21
  • 138.1.48.0/21
  • 138.1.64.0/20
  • 138.1.80.0/20
  • 138.1.96.0/21
  • 138.1.112.0/20
  • 140.204.0.128/25
  • 140.204.12.128/25
  • 140.204.16.128/25
  • 140.204.20.128/25
  • 140.204.24.128/25
  • 140.204.4.128/25
  • 140.204.8.128/25
  • 140.91.10.0/23
  • 140.91.12.0/22
  • 140.91.22.0/23
  • 140.91.24.0/22
  • 140.91.28.0/23
  • 140.91.30.0/23
  • 140.91.32.0/23
  • 140.91.34.0/23
  • 140.91.36.0/23
  • 140.91.38.0/23
  • 140.91.4.0/22
  • 140.91.40.0/23
  • 140.91.8.0/23
  • 147.154.0.0/18
  • 147.154.128.0/18
  • 147.154.192.0/20
  • 147.154.208.0/21
  • 147.154.224.0/19
  • 147.154.64.0/20
  • 147.154.80.0/21
  • 147.154.96.0/19
  • 192.157.18.0/24
  • 192.157.19.0/24
  • 192.29.0.0/20
  • 192.29.128.0/21
  • 192.29.138.0/23
  • 192.29.144.0/21
  • 192.29.152.0/22
  • 192.29.16.0/20
  • 192.29.160.0/21
  • 192.29.168.0/22
  • 192.29.172.0/25
  • 192.29.178.0/25
  • 192.29.180.0/22
  • 192.29.32.0/21
  • 192.29.40.0/22
  • 192.29.44.0/25
  • 192.29.48.0/21
  • 192.29.56.0/21
  • 192.29.60.0/23
  • 192.29.64.0/20
  • 192.29.96.0/20
  • 192.29.140.0/22
  • 192.69.118.0/23
  • 198.181.48.0/21
  • 199.195.6.0/23
  • 205.147.88.0/21

WAF für die passive Ermittlung von Regeln einrichten

WAF-Schutzregeln fügen jeder Transaktion zusätzliche CPU-Zyklen hinzu. Daher empfehlen wir, nur die Regeln zu aktivieren, die für Ihre Webanwendungstopologie entworfen wurden. WAF bietet eine Reihe empfohlener Regeln, die die Performance Ihrer Site nicht beeinträchtigen und mit den meisten Webanwendungen funktionieren. Mit dem Feature für den WAF-Botschutz wird Ihre Webanwendung vollständig vor Bedrohungen geschützt.

Wenn Sie Hilfe beim Einrichten von WAF benötigen, können Sie eine Serviceanfrage bei My Oracle Support öffnen und Hilfe bei der OCI-WAF-Optimierung anfordern. Ein Experte führt Sie dann durch den Prozess.

So zeigen Sie Empfehlungen für Schutzregeln an
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Web Application Firewall die Option Policys aus.
  2. Klicken Sie auf den Namen der WAF-Policy, für die Sie Schutzregelempfehlungen anzeigen möchten. Der Überblick über die WAF-Policy wird angezeigt.
  3. Klicken Sie auf Schutzregeln.
  4. Klicken Sie auf die Registerkarte Empfehlungen. Die Liste wird basierend auf dem Traffic generiert, den die Web Application Firewall ermittelt und der durch die WAF fließt. Wenn die Liste leer ist, prüfen Sie den FQDN Ihrer Anwendung später noch einmal.
  5. Wählen Sie die Schutzregeln mit der empfohlenen Aktion Ermitteln aus, und klicken Sie auf Empfehlungen akzeptieren.
Tipp

Mit dem Filter Empfohlene Aktion können Sie Empfehlungen nach der Aktion Ermitteln filtern.
So aktivieren Sie WAF-Schutzregeln für den Erkennungsmodus
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Web Application Firewall die Option Policys aus.
  2. Klicken Sie auf den Namen der WAF-Policy, für die Sie Regeleinstellungen konfigurieren möchten. Der Überblick über die WAF-Policy wird angezeigt.
  3. Klicken Sie auf Schutzregeln.
  4. Suchen Sie in der Tabelle "Schutzregeln" die Regeln, die ermittelt werden sollen.
  5. Geben Sie die Regel-IDs aus der Tabelle in den Filter Regel-ID ein. In diesem Beispiel geben Sie 941110 (Cross-Site Scripting) in den Filter Regel-ID ein.
  6. Wählen Sie im Dropdown-Menü Aktionen die Option Ermitteln für die gefilterten Schutzregeln aus.

Weitere Informationen finden Sie unter WAF-Schutzregeln.

So aktivieren Sie WAF-Zugriffsregeln für den Erkennungsmodus
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Web Application Firewall die Option Policys aus.
  2. Klicken Sie auf den Namen der WAF-Policy, für die Sie Zugriffsregeln konfigurieren möchten. Der Überblick über die WAF-Policy wird angezeigt.
  3. Klicken Sie auf Zugriffskontrolle.
  4. Klicken Sie auf Zugriffsregel hinzufügen.
  5. Geben Sie im Dialogfeld "Zugriffsregel hinzufügen" Folgendes ein:
    1. Name: DetectRequestsFromMySpecificBrowser
    2. Regelaktion: Wählen Sie Nur ermitteln aus.
    3. Bedingungen: Wählen Sie IP-Adresse ist im Menü aus, und geben Sie die IP-Adresse, die Sie beim Testen der Anwendung in die Zwischenablage kopiert haben, in das Feld IP-Adresse ein.
    4. Klicken Sie auf + Zusätzliche Bedingung.
    5. Bedingung: Wählen Sie Benutzer-Agent ist im Menü aus, und geben Sie den Agent-Wert, den Sie beim Testen der Anwendung in die Zwischenablage kopiert haben, in das Feld Benutzer-Agent-Header ein.
    Hinweis

    Es muss sowohl für die IP-Adresse als auch für den Benutzer-Agent im vorherigen Beispiel eine Übereinstimmung geben, damit die Regel ausgelöst wird. Wird ein anderer Benutzer-Agent für das Testen der Anwendung verwendet, wird die Anforderung nicht ermittelt.

  6. Klicken Sie auf Zugriffsregel hinzufügen.
  7. Klicken Sie auf Nicht veröffentlichte Änderungen.
  8. Klicken Sie auf Alle veröffentlichen.

Weitere Informationen finden Sie unter Zugriffskontrolle für Edge Policys.

So aktivieren Sie WAF-BOT-Regeln für den Erkennungsmodus (JavaScript-Challenge)
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Web Application Firewall die Option Policys aus.
  2. Klicken Sie auf den Namen der WAF-Policy, für die Sie JavaScript-Challenge-Einstellungen konfigurieren möchten. Der Überblick über die WAF-Policy wird angezeigt.
  3. Klicken Sie auf Botverwaltung.
  4. Klicken Sie auf JavaScript-Challenge bearbeiten.
  5. Aktivieren Sie im Dialogfeld "JavaScript-Challenge" das Kontrollkästchen JavaScript-Challenge aktivieren.

  6. Wählen Sie im Abschnitt "Aktion für JavaScript-Challenge" die Option Nur ermitteln aus.

  7. Geben Sie folgende Informationen ein:

    • Bedingungen aktivieren: Wenn diese Option aktiviert ist, müssen die Bedingungen übereinstimmen, damit eine bestimmte Aktion ausgeführt wird. Weitere Informationen zu Bedingungen und Regeln finden Sie unter Zugriffskontrolle für Edge Policys.
    • Schwellenwert für Aktion (Anzahl Anforderungen): Geben Sie die Anzahl der nicht erfolgreichen Anforderungen an, bevor eine Aktion ausgeführt wird. Aufgrund der asynchronen Anforderung vom Browser beim Laden der Seite wird empfohlen, den Schwellenwert für Webanwendungen mit moderater Ajax-Nutzung auf 10 und für Anwendungen mit intensiver Ajax-Nutzung auf 100 zu setzen.
    • Ablaufzeit der Aktion (Sekunden): Geben Sie die Anzahl der Sekunden zwischen Challenges an dieselbe IP-Adresse ein. Aufgrund von Änderungen an Client-IP-Adressen wird empfohlen, die Ablaufzeit für Anwendungen mit mobilen Benutzern auf 120 Sekunden und für Anwendungen mit ausschließlich Desktopbenutzern auf 3.600 Sekunden zu setzen.
    • Umleitungen folgen: Wenn diese Option aktiviert ist, werden Umleitungsantworten vom Ursprung ebenfalls durch eine Challenge geschützt.
    • NAT-Unterstützung aktivieren: Wenn diese Option aktiviert ist, wird der Benutzer nicht nur anhand der IP-Adresse identifiziert, sondern auch durch einen eindeutigen zusätzlichen Hash, der ein Blockieren von Besuchern mit gemeinsamen verwendeten IP-Adressen verhindert. Es wird empfohlen, diese NAT-Unterstützung für Apps mit hoher Last (200+ RPS) zu deaktivieren.
  8. Klicken Sie auf Änderungen speichern.

Die JavaScript-Challenge wird der Liste der zu veröffentlichenden Änderungen hinzugefügt.

Weitere Informationen finden Sie unter Botverwaltung.

So aktivieren Sie WAF-BOT-Regeln für den Erkennungsmodus (Challenge für menschliche Interaktion)
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Web Application Firewall die Option Policys aus.
  2. Klicken Sie auf den Namen der WAF-Policy, für die Sie JavaScript-Challenge-Einstellungen konfigurieren möchten. Der Überblick über die WAF-Policy wird angezeigt.
  3. Klicken Sie auf Botverwaltung.
  4. Klicken Sie auf die Registerkarte Challenge für menschliche Interaktion.
  5. Klicken Sie auf Challenge für menschliche Interaktion bearbeiten.
  6. Aktivieren Sie im Dialogfeld "Challenge für menschliche Interaktion bearbeiten" das Kontrollkästchen Challenge für menschliche Interaktion aktivieren.
  7. Wählen Sie im Abschnitt "Aktion für menschliche Interaktion" die Option Nur ermitteln aus.
  8. Geben Sie folgende Informationen ein:
    • Schwellenwert für Aktion (Anzahl Anforderungen): Geben Sie die Anzahl der nicht erfolgreichen Anforderungen an, bevor eine Aktion ausgeführt wird. Aufgrund der asynchronen Anforderung vom Browser beim Laden der Seite wird empfohlen, den Schwellenwert für Webanwendungen mit moderater Ajax-Nutzung auf 10 und für Anwendungen mit intensiver Ajax-Nutzung auf 100 zu setzen.
    • Schwellenwertablaufzeitraum (Sekunden): Die Anzahl der Sekunden vor Ablauf des Schwellenwerts.
    • Ablaufzeit der Aktion (Sekunden): Geben Sie die Anzahl der Sekunden zwischen Challenges an dieselbe IP-Adresse ein. Aufgrund der Änderungen an Client-IP-Adressen wird empfohlen, die Ablaufzeit für Anwendungen mit mobilen Benutzern auf 120 Sekunden und für Anwendungen mit ausschließlich Desktopbenutzern auf 3.600 Sekunden zu setzen.
    • Schwellenwert für Interaktion (Anzahl der Interaktionen): Anzahl Interaktionen vor Ablauf des Schwellenwerts.
    • Aufzeichnungszeitraum (Sekunden): Der Zeitraum für die Aufzeichnung der Benutzerereignisse.
    • NAT-Unterstützung: Wenn diese Option aktiviert ist, wird der Benutzer nicht nur anhand der IP-Adresse identifiziert, sondern auch durch einen eindeutigen zusätzlichen Hash, der ein Blockieren von Besuchern mit gemeinsamen verwendeten IP-Adressen verhindert. Es wird empfohlen, die Unterstützung für Apps mit hoher Last (200+ RPS) zu deaktivieren.
  9. Klicken Sie auf Änderungen speichern.

Die Challenge für menschliche Interaktion wird zur Liste der zu veröffentlichenden Änderungen hinzugefügt.

Weitere Informationen finden Sie unter Botverwaltung.

Informationen zur Verarbeitungsreihenfolge von WAF finden Sie unter Edge Policys verwalten.

Regeln testen

Wenn die Policy aktiv ist, können Sie testen, ob Ihre Regeln von WAF ermittelt werden.

So initiieren Sie Anforderungen
  1. Führen Sie in dem Browser, den Sie beim Testen der Anwendung verwendet haben, Folgendes aus:
    • Fordern Sie den FQDN Ihrer Anwendung mit dem folgenden Abfrageparameter an: 
      ?id=<script>alert("TEST");</script>
  2. Verwenden Sie einen anderen Browser auf demselben Rechner, und wiederholen Sie die vorhergehenden Anforderungen. Alle Anforderungen sollten über die Anwendung laufen.
So prüfen Sie, ob WAF Anforderungen ermittelt

So prüfen Sie, ob WAF Anforderungen ermittelt, die als Risiko identifiziert werden:

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Web Application Firewall die Option Policys aus.
  2. Klicken Sie auf den Namen der WAF-Policy, für die Sie Logs anzeigen möchten. Der Überblick über die WAF-Policy wird angezeigt.
  3. Klicken Sie auf Logs. Logs für die WAF-Policy werden angezeigt.
  4. Aktivieren Sie im Filter Aktionen das Kontrollkästchen Ermitteln.
  5. Vergewissern Sie sich, dass zwei Einträge für die Schutzregel vorhanden sind, die von der Cross-Site-Scripting-Anforderung ausgelöst wird, und ein Eintrag zum Ermitteln des Benutzer-Agent und der IP-Adresse.