WAF-Schutzregeln
Schutzregeln gleichen Webtraffic mit Regelbedingungen ab und ermitteln so die Aktion, die bei Erfüllung der Bedingungen ausgeführt werden soll. Mit Schutzregeleinstellungen können Sie die Parameter für die Durchsetzung bei jeder Übereinstimmung mit einer Schutzregel definieren. Empfehlungen unterstützen Sie bei der Optimierung Ihres WAF-Sicherheitsprofils. Das Security-Operations-Team überwacht alle Ereignisse proaktiv, um Empfehlungen zur Aktion eines bestimmten Regelsets zu geben. Weitere Informationen finden Sie unter Unterstützte Schutzregeln.
Eine Edge Policy umfasst ungefähr 680 Regeln. Da die Edge Policy schon etwas älter ist, enthält sie mehrere Versionen des Core Rule Sets (CRS).Neben dem Erstellen neuer Regeln aktualisieren und optimieren wir vorhandene Regeln kontinuierlich. Aufgrund von Sicherheitslücken können wir das Risikominderungsmuster für Regeln nicht angeben.
WAF-Policys werden mit CRS und CVEs auf dem neuesten Stand gehalten, wobei neue und aktualisierte Definitionen vierteljährlich veröffentlicht werden. Die verwendeten Regeldefinitionen werden nicht aktualisiert, da sie zu unerwartetem Verhalten führen könnten. Neue Definitionen werden immer im Status "Aus" übertragen.
Sie können maximal 100 Regeln pro WAF-Policy aktivieren.
Weitere Informationen finden Sie unter Unterstützte Schutzregeln.
Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.
Schutzregelempfehlungen auflisten und akzeptieren
{
"name": "SQL authentication bypass attempts",
"action": "OFF",
"description": "Detects basic SQL authentication bypass attempts.",
"exclusions": [],
"key": "981244",
"tags": "SQL Injections, Recommended"
},
{
"modSecurityRuleIds": [
"950001",
"959070",
"959071",
"959072",
"950908",
"959073"
],
"name": "Common SQL Injections",
"action": "OFF",
"description": "detects common SQL injection attacks",
"exclusions": [],
"key": "950001",
"tags": "SQL Injections, WASCTC, OWASP, A1, PCI, Recommended"
},
[
"981244",
"950001"
]Schutzregelspezifische Einstellungen
Verschiedene Schutzregeleinstellungen gelten für bestimmte Schutzregeln.
| Einstellung | Regel-ID | Regelname |
|---|---|---|
| Zulässige HTTP-Methoden | 911100 | Restrict HTTP Request Methods |
| Maximale Gesamtlänge des Arguments | 960341 | Total Arguments Limits |
| Maximale Anzahl Argumente | 960335 | Number of Arguments Limits |
| Maximale Länge des Arguments | 960208 | Values Limits |
Der Begriff "Argumente" bezieht sich entweder auf Abfrageparameter oder Bodyparameter in einer PUT/POST-Anforderung. Beispiel: Wenn die maximale Anzahl der Argumente 2 ist und die Regel-ID 960335 auf "BLOCK" gesetzt ist, werden die folgenden Anforderungen blockiert:
GET /myapp/path?query=one&query=two&query=threePOST /myapp/path with Body {"arg1":"one","arg2":"two","arg3":"three"}POST /myapp/path?query=one&query=two with Body {"arg1":"one"}Die maximale Länge des Arguments entspricht der Länge eines mit dem Namen oder des Argumentwertes. Die maximale Gesamtlänge des Arguments bezieht sich auf die Summe aus Name und Wertlänge.
Ausschlüsse
Konfigurieren Sie eine Ausnahme im Web Application Firewall-Service.
Gelegentlich kann eine Schutzregel einen falsch positiven Treffer auslösen. Sie können eine Ausnahme konfigurieren, wenn die Anforderungen, die diese falsch positiven Treffer generieren, ein bestimmtes Argument oder ein bestimmtes Cookie haben, anhand dessen sie sich identifizieren lassen, um sie aus der Aktion auszuschließen, die normalerweise für die Regel ausgeführt wird. Die folgenden Ausschlussparameter können verwendet werden:
|
Name |
Beschreibung |
|---|---|
|
Anforderungsparameter |
Liste der Parameterwerte (nach Parametername) aus form-urlencoded-, XML-, JSON-, AMP- oder POST-Payloads, die von der Prüfung ausgeschlossen werden sollen. |
|
Anforderungscookies |
Liste der HTTP-Anforderungscookiewerte (nach Cookiename), die von der Prüfung ausgeschlossen werden sollen. |