Web Application Firewall-Policy erstellen

1. Geben Sie einen Namen für die WAF-Policy ein, oder verwenden Sie den Standardnamen.
2. Wählen Sie das Compartment aus, das die WAF-Policy enthalten soll.
3. Wählen Sie den Pfeil Aktionen aus, um die Aktionen anzuzeigen, die der WAF-Policy hinzugefügt werden sollen. Die folgenden vorkonfigurierten Aktionen sind standardmäßig mit der WAF-Policy verknüpft:
   • Vorkonfigurierte Prüfaktion: Die Aktion stoppt die Ausführung von Regeln nicht. Stattdessen generiert die Aktion eine Logmeldung, in der das Ergebnis der Regelausführung dokumentiert wird.
   • Vorkonfigurierte Zulassungsaktion: Die Aktion überspringt bei Übereinstimmung mit der Regel alle restlichen Regeln im aktuellen Modul.
   • Vordefinierte 401-Antwortcodeaktion: Gibt eine definierte HTTP-Antwort zurück. Die Konfiguration des Antwortcodes (Header und Antwortseitenbody) bestimmt die HTTP-Antwort, die bei der Ausführung dieser Aktion zurückgegeben wird.
4. Um der Policy eine weitere Aktion hinzuzufügen, wählen Sie Aktion hinzufügen aus, und führen Sie die folgenden Optionen im Bereich Aktionen hinzufügen aus. Weitere Informationen finden Sie unter Aktionen für Webanwendungs-Firewalls.

   • Name: Geben Sie den Namen der Aktion ein.

   • Typ: Geben Sie den Aktionstyp an:

     • Prüfen: Stoppt die Ausführung von Regeln nicht. Stattdessen wird eine Logmeldung generiert, die das Ergebnis der Regel dokumentiert.

       Zulassen: Überspringt alle verbleibenden Regeln im aktuellen Modul.

       HTTP-Antwort zurückgeben: Gibt eine definierte HTTP-Antwort zurück.

       Wenn Sie diesen Typ auswählen, geben Sie die folgenden Werte an.

   • Antwortcode: Wählen Sie die HTTP-Antwort aus.

   • Header: Geben Sie optionale Headerinformationen ein:

     • Headername: Geben Sie den Headernamen ein.

     • Headerwert: Geben Sie den zugehörigen Wert des Header ein.

     • Wählen Sie + Weiterer Header aus, um eine weitere Headerzeile anzuzeigen, in die Sie ein Name/Wert-Paar für einen Header eingeben können. Wählen Sie X aus, um die zugehörige Headerzeile zu löschen.

   • Text der Antwortseite: Enthält bei Bedarf Details zu einem Fehler, einschließlich der Ursache und weiterer Anweisungen.

     Geben Sie den HTTP-Antworttext ein, z.B. eine JSON-Fehlerantwort:

     {"code":"403","message":"Forbidden"}

     Sie können die Unterstützung von dynamischem Text aktivieren, um Variablen im Seitentext hinzuzufügen. Die folgende Variable wird unterstützt:

     RequestID

     Mit der Anforderungs-ID können Sie eine Anforderung verfolgen und verwalten, indem Sie eine eindeutige Anforderungs-ID angeben, die in HTTP-Anforderungs- und Antwortheadern angegeben wird.

     Wenn die Anforderungs-ID aktiviert ist, ist der Standardheadername X-Request-ID im HTTP-Anforderungsheader vom Load Balancer zu den Backend- und HTTP-Headerantworten enthalten.

     Das folgende Beispiel stellt einen HTTP-Antwortbody mit aktivierter dynamischer Textunterstützung bereit:

     {"code":"403","message":"Forbidden","RequestId":"${http.request.id}"}

5. Wählen Sie Aktion hinzufügen aus.

6. Tagging anzeigen: (Optional) Fügen Sie der WAF-Policy mindestens ein Tag hinzu.

   Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiform-Tags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen verfügen, den Tag-Namespace zu verwenden. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

7. Um mit den Legacy-Optionen für Edge-Policys zu arbeiten, wählen Sie den Legacy-Workflowlink unten auf der Seite aus. Weitere Informationen finden Sie unter Kantenrichtlinien.

Wählen Sie Weiter aus.

(Optional) Mit den Optionen für die Zugriffskontrolle können Sie explizite Aktionen für Anforderungen und Antworten definieren, die verschiedene Bedingungen erfüllen. Wenn Sie die Zugriffskontrolle aktivieren, wird eine Liste der Zugriffsregeln angezeigt, die der Anforderungskontrolle zugeordnet sind. Sie können Regeln hinzufügen, ändern, bearbeiten oder löschen. Weitere Informationen finden Sie unter Kontrollen für eine Web Application Firewall-Policy anfordern.

1. Wählen Sie Zugriffskontrolle aktivieren aus.
2. Wählen Sie unter Anforderungskontrolle die Option Zugriffsregel hinzufügen aus, und geben Sie die folgenden Informationen an, um die Regel zu definieren:
   • Name: Geben Sie einen Namen für die Zugriffsregel ein.
   • Bedingungen: Geben Sie die Voraussetzungsbedingungen an, die erfüllt sein müssen, damit die Regelaktion ausgeführt wird. Siehe Erläuterungen zu Bedingungen.
   • Regelaktion: Wählen Sie eine vorhandene Regel aus, die befolgt werden soll, wenn die vorstehenden Bedingungen erfüllt sind, oder wählen Sie Neue Aktion erstellen aus, um eine hinzuzufügen. Eine Beschreibung der vorkonfigurierten Regeln und Anweisungen zum Hinzufügen von Regeln finden Sie im vorherigen Abschnitt "Grundlegende Informationen einrichten".
3. Wählen Sie Zugriffsregel hinzufügen aus.
4. Wählen Sie unter Standardaktion in der Liste Aktionsname die auszuführende Aktion aus, wenn Anforderungen mit keiner Regelgruppe übereinstimmen, die für die Policy definiert ist.
5. Wählen Sie Antwortkontrolloptionen anzeigen aus, um den Abschnitt Antwortkontrolle und die Liste Zugriffsregeln anzuzeigen. Die Liste enthält Zugriffsregeln, die der Antwortkontrolle zugeordnet sind. Sie können Zugriffsregeln und Aktionen für Antwortkontrollen genauso wie für Anforderungskontrollen hinzufügen und verwalten. Weitere Informationen finden Sie unter Antwortkontrolle für eine Web Application Firewall-Policy.

Wählen Sie Weiter aus.

1. Wählen Sie Zum Konfigurieren von Ratenbeschränkungsregeln aktivieren aus.
2. Wählen Sie unter Ratenbegrenzungsregeln die Option Ratenbegrenzungsregel hinzufügen aus, und führen Sie die Optionen wie folgt aus:

   • Name: Geben Sie einen Namen für die Ratenbegrenzungsregel ein.

   • Bedingungen: Geben Sie die Voraussetzungsbedingungen an, die erfüllt sein müssen, damit die Regelaktion ausgeführt wird. Siehe Erläuterungen zu Bedingungen.

   • Ratenbegrenzungskonfiguration: Konfigurieren Sie die maximale Anzahl von Anforderungen, die von einer eindeutigen IP-Adresse gestellt werden können und wie lange die Anforderung sein kann. Die Optionen sind:
     • Anforderungslimit: Geben Sie die maximale Anzahl von Anforderungen ein, die eine eindeutige IP-Adresse während des im Feld Zeitraum in Sekunden angegebenen Zeitraums stellen kann.
     • Zeitraum in Sekunden: Geben Sie die Anzahl von Sekunden ein, in der eine eindeutige IP-Adresse die maximale Anzahl von Anforderungen stellen kann, wie im Feld Anforderung begrenzt angegeben.
     • Dauer der Aktion in Sekunden: Geben Sie ein, wie viele Sekunden lang, bis die Aktion angewendet wird, wenn das Anforderungslimit erreicht ist.
   • Regelaktion: Wählen Sie eine vorhandene Regel aus, die befolgt werden soll, wenn die vorstehenden Bedingungen erfüllt sind, oder wählen Sie Neue Aktion erstellen aus, um eine hinzuzufügen. Eine Beschreibung der vorkonfigurierten Regeln und Anweisungen zum Hinzufügen von Regeln finden Sie im vorherigen Abschnitt mit allgemeinen Informationen.

     Weitere Informationen finden Sie unter Aktionen für Webanwendungs-Firewalls.

Wählen Sie Weiter aus.

(Optional) Mit diesen Optionen können Sie von Oracle verwaltete Anforderungsschutzfunktionen anwenden, um böswilligen Traffic abzufangen. Wenden Sie Schutzregeln nach Bedarf an. Weitere Informationen finden Sie unter Schutz für Web Application Firewall.

1. Wählen Sie Aktivieren, um Schutzregeln zu konfigurieren.
2. Wählen Sie unter Anforderungsschutzregeln die Option Anforderungsschutzregel hinzufügen aus, und schließen Sie die Optionen wie folgt ab:

   • Name: Geben Sie einen Namen für die Schutzregel ein.

   • Anforderungen: Geben Sie die erforderlichen Bedingungen an, die erfüllt sein müssen, damit die Regelaktion ausgeführt wird. Siehe Bedingungen.
   • Regelaktion: Wählen Sie eine vorhandene Regel aus, die befolgt werden soll, wenn die vorstehenden Bedingungen erfüllt sind, oder wählen Sie Neue Aktion erstellen aus, um eine hinzuzufügen. Eine Beschreibung der vorkonfigurierten Regeln und Anweisungen zum Hinzufügen von Regeln finden Sie im vorherigen Abschnitt "Grundlegende Informationen einrichten".

   • Textprüfung: Wählen Sie Textprüfung aktivieren aus, damit der HTTP-Anforderungstext geprüft werden kann, um sicherzustellen, dass der Inhalt des Anforderungstextes allen angegebenen Schutzfunktionen in der Schutzregel entspricht. Weitere Informationen finden Sie unter Prüfung des HTTP-Anforderungsbody.

   • Schutzfunktionen: Listet die Schutzfunktionen auf, die der Schutzregel zugewiesen sind. Wählen Sie Schutzfunktionen auswählen aus, um das Dialogfeld Schutzfunktionen auswählen zu öffnen. Durchsuchen Sie die verfügbaren Schutzfunktionen, und weisen Sie sie der Schutzregel zu.

     Sie können die Funktionen filtern und den Pfeil nach unten am rechten Ende jeder Funktion auswählen, um die Versionshistorie anzuzeigen. Wählen Sie die Schutzfunktionen aus, die Sie der Schutzregel hinzufügen möchten, und wählen Sie dann Schutzfunktionen auswählen aus.

     Weitere Informationen finden Sie unter Schutz für Web Application Firewall.

   • Aktionen: Sie können mehr Aktionen für mindestens eine ausgewählte Schutzfunktion anwenden. Wählen Sie die gewünschten Schutzfunktionen, und wählen Sie einen der folgenden Befehle im Menü Aktionen:
     • Schutzfunktionseinstellungen anzeigen und bearbeiten: Öffnet das Dialogfeld Schutzfunktionseinstellungen anzeigen und bearbeiten, in dem Sie die Schutzfunktionseinstellungen bearbeiten können.
       Hinweis
       
       Diese Einstellung ist global. Die Einstellungen, die Sie in diesem Dialogfeld konfigurieren, gelten für alle Schutzfunktionen, die mit der Schutzregel verknüpft sind, unabhängig davon, ob sie in der Liste der Schutzfunktionen ausgewählt sind.
     • Aktion ändern: Öffnet das Dialogfeld Aktion ändern, in dem Sie die Aktion aktualisieren können, die von den Schutzfunktionen ausgelöst wird.
     • Löschen: Entfernt die Schutzfunktionen aus der Schutzregel.
3. Wählen Sie Anforderungsschutzregel hinzufügen aus.
4. Wählen Sie Antwortschutzregeln anzeigen aus, um eine Liste der Antwortschutzregeln anzuzeigen.
   • Um eine Regel zu entfernen, wählen Sie sie aus, Löschen aus.
   • Um eine Regel hinzuzufügen, wählen Sie Antwortschutzregel hinzufügen aus.
   • Sie können Zugriffsregeln und Aktionen für den Antwortschutz genauso hinzufügen und verwalten wie zuvor in diesem Abschnitt beschrieben.
5. Wählen Sie eine oder mehrere Anforderungsschutzregeln aus, und wählen Sie das Menü Aktionen aus, um eine Aktion auf alle ausgewählten Regeln anzuwenden. Wählen Sie eine der folgenden Optionen:
   • Regeleinstellungen anzeigen und bearbeiten: Öffnet das Dialogfeld "Regeleinstellungen anzeigen und bearbeiten". Sie können die folgenden Einstellungen auf jede Anforderungsschutzregel anwenden, für die HTTP-Bodyprüfung aktiviert ist:
     • Maximal zulässige Anzahl von Byte: Geben Sie die Anzahl der Byte in jedem HTTP-Nachrichtentext an, der geprüft wird. Der Wert liegt zwischen 0 und 8192.
     • Aktion bei überschrittenem Grenzwert: Wählen Sie eine Aktion aus der Liste aus, die ausgeführt wird, wenn die Größe des Nachrichtentextes die angegebene zulässige Höchstanzahl an Byte überschreitet.

   • Textprüfung aktivieren: Aktiviert die Prüfung des HTTP-Nachrichtentextes.

   • Textprüfung deaktivieren: Deaktiviert die Prüfung des HTTP-Nachrichtentextes.

   • Löschen: Entfernt die ausgewählten Anforderungsschutzregeln aus der Policy.

Wählen Sie Weiter aus.

Mit diesen Optionen können Sie die Web Application Firewall-Sicherheit für den Load Balancer durchsetzen. Weitere Informationen finden Sie unter Firewalls für Web Application Firewall-Policys.

Wählen Sie unter Firewalls hinzufügen einen Load Balancer aus, der im aktuellen Compartment enthalten ist. Wählen Sie Compartment ändern aus, um Load Balancer aus einem anderen Compartment auszuwählen.

Auf den ausgewählten Load Balancer wird die Firewallsicherheit angewendet.

Wählen Sie Weiter aus.

Prüfen Sie die WAF-Policy-Einstellungen, bevor Sie den Erstellungsprozess abschließen. Jeder Abschnitt entspricht Optionen, die für die Policy eingerichtet wurden.

1. Prüfen Sie die einzelnen Abschnitte auf Richtigkeit und Vollständigkeit. Wählen Sie Bearbeiten in einem beliebigen Abschnitt aus, in dem Sie Änderungen vornehmen möchten.

2. Wählen Sie WAF-Policy erstellen aus.