Oracle Cloud Infrastructure - Dokumentation

Erste Schritte mit Web Application Firewall-Policys

Beginnen Sie mit dem Erstellen und Verwalten einer Webanwendungs-Firewall-Policy.

Bevor Sie beginnen

Wichtige Konzepte zur Web Application Firewall finden Sie unter Erforderliche IAM-Service-Policy.

Um den WAF-Service zu verwenden, müssen folgende Voraussetzungen erfüllt sein:

  • Stellen Sie sicher, dass Sie über die Berechtigungen der erforderlichen IAM-Service-Policy verfügen.

  • Wir empfehlen, ein separates Compartment für Ihre Web Application Firewall-Policy zu verwenden, damit die Verwaltung einfacher und sicherer ist. Weitere Informationen finden Sie unter Compartments verwalten.

  • Sie verfügen über einen Load Balancer mit einem HTTP-Listener.

Sie können Ihre Web Application Firewall-Policy nur ändern, wenn der Policy-Status ACTIVE lautet.

Möglichkeiten für den Zugriff auf den Web Application Firewall-Service

Auf Oracle Cloud Infrastructure (OCI) können Sie über die Konsole (eine browserbasierte Schnittstelle), die REST-API oder die OCI-CLI zugreifen. Anweisungen zur Verwendung der Konsole, API und CLI sind in verschiedenen Themen in dieser Dokumentation enthalten. Eine Liste der verfügbaren SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle.

Um die Konsole aufzurufen, müssen Sie einen unterstützten Browser verwenden. Um zu der Anmeldeseite der Konsole zu wechseln, öffnen sie das Navigationsmenü am Anfang dieser Seite, und wählen Sie Infrastrukturkonsole aus. Dort werden Sie aufgefordert, Ihren Cloud-Mandanten, Benutzernamen und Ihr Kennwort einzugeben.

Web Application Firewall-Service - Funktionen und Limits

Für den Web Application Firewall-(WAF-)Service sind die folgenden Funktionen und Limits verfügbar:

  • Web Application Firewall-Policys: 100 pro Mandant.

  • Netzwerkadresslisten: 100 pro Mandant.

    Eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung beantragen finden Sie unter Servicelimits. Um compartment-spezifische Grenzwerte für eine Ressource oder Ressourcenfamilie festzulegen, können Administratoren Compartment-Quotas verwenden.
    Hinweis

    Der WAF-Service lässt eine Gesamtlaufzeit von 10 Minuten für Upload- und Downloadprozesse über die Web Application Firewall zu.
  • Die WAF-Policy unterstützt keinen Network Load Balancer. Die WAF-Policy unterstützt nur Load Balancer.
  • Der TCP-Listener ist nicht mit der WAF-Policy kompatibel. Die WAF-Policy unterstützt nur HTTP-Listener.

  • Die WAF-Policy unterstützt IPv6. Die WAF-Policy wird direkt an den Load Balancer angehängt, für den Sie IPv6-Support auswählen können.

    Nachdem Sie einen Load Balancer erstellt und den Typ ausgewählt haben, wählen Sie die Option IPv6-Adresszuweisung aktivieren aus.

    Wenn Sie einen Load Balancer erstellen, können Sie wählen, ob Sie eine IPv4/IPv6-Dual-Stack-Konfiguration verwenden möchten. Wenn Sie die Option "IPv6" auswählen, weist der Load Balancer-Service dem Load Balancer sowohl eine IPv4- als auch eine IPv6-Adresse zu. Der Load Balancer empfängt Clienttraffic, der an die zugewiesene IPv6-Adresse gesendet wird. Der Load Balancer verwendet nur IPv4-Adressen zur Kommunikation mit Backend-Servern. Es findet keine IPv6-Kommunikation zwischen dem Load Balancer und den Backend-Servern statt.
    Hinweis

    Die Adresszuweisung IPv6 erfolgt nur während der Load Balancer-Erstellung. Sie können einem vorhandenen Load Balancer keine IPv6-Adresse zuweisen.
  • WAF-Policys gelten nur regional. Eine WAF-Policy kann nicht in mehreren Regionen gleichzeitig verwendet werden.
  • Eine einzelne Policy kann mit mehreren Load Balancern verwendet werden. Sie können eine Policy mit mehreren Load Balancern verwenden, solange sich alle Load Balancer in derselben Region wie die Policy befinden.
  • WAF-Policy-Regeln werden in der folgenden Reihenfolge ausgeführt:
    1. WAF requestAccessControl
    2. WAF requestRateLimiting
    3. WAF requestProtection
      1. requestProtection Regel 1
        1. Headerprüfung CHECK-Modus protectionCapabilities
        2. Headerprüfung BLOCK-Modus protectionCapabilities
        3. HTTP-Bodyprüfung CHECK-Modus protectionCapabilities
        4. HTTP-Bodyprüfung BLOCK-Modus protectionCapabilities
      2. requestProtection Regel 2
      3. requestProtection Regel N
    4. <Anforderung an Backend weitergeleitet und Antwort empfangen>
    5. WAF responseAccessControl
    6. WAF responseProtection
      1. responseProtection Regel 1
        1. Headerprüfung CHECK-Modus protectionCapabilities
        2. Headerprüfung BLOCK-Modus protectionCapabilities
        3. HTTP-Bodyprüfung CHECK-Modus protectionCapabilities
        4. HTTP-Bodyprüfung BLOCK-Modus protectionCapabilities
      2. responseProtection Regel 2
      3. responseProtection Regel N

Erforderliche IAM-Service-Policy

Um Oracle Cloud Infrastructure verwenden zu können, muss Ihnen der Zugriff in einer Policy für "waas-policy" erteilt werden. Wenn Sie versuchen, eine Aktion auszuführen, und eine Meldung erhalten, dass Sie weder eine Berechtigung haben noch nicht autorisiert sind, fragen Sie den Administrator, welche Art von Zugriff Ihnen erteilt wurde und in welchem Compartment Sie arbeiten sollen.

Liste der erforderlichen Berechtigungen: 

Allow group-id to manage waas-family in compartment_ocid

Allow group-id to manage web-app-firewall in compartment_ocid

Allow group-id to manage waf-policy in compartment_ocid

Allow group-id to use waf-network-address-list in compartment_ocid

Policy-Beispiele:

  • So lassen Sie zu, dass eine bestimmte Benutzergruppe Web Application Firewalls in Ihrem Mandanten verwalten kann:
    Allow group-id to manage web-app-firewall in tenancy
  • So lassen Sie zu, dass eine bestimmte Benutzergruppe Web Application Firewall-Policys in einem bestimmten Compartment prüfen kann:
    Allow group-id to inspect waf-policy in compartment_ocid
  • So lassen Sie zu, dass eine bestimmte Benutzergruppe Web Application Firewall-Netzwerkadresslisten in Ihrem Mandanten verwendet:
    Allow group-id to use waf-network-address-list in tenancy

Wenn Sie sich nicht mit Policys auskennen, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys. Weitere Informationen zu WAF-Policys finden Sie unter Details zum WAF-Service.

Tags werden angewendet

Wenden Sie Tags auf Ressourcen an, um diese entsprechend Ihren Geschäftsanforderungen zu organisieren. Sie können Tags beim Erstellen einer Ressource anwenden und eine Ressource später aktualisieren, um Tags hinzuzufügen, zu ändern oder zu entfernen. Allgemeine Informationen zum Anwenden von Tags finden Sie unter Ressourcentags.