Introducción a políticas de perímetro

Siga las instrucciones de esta sección para comenzar con las políticas de borde.

Antes de empezar

Consulte Visión general de Web Application Firewall para obtener información sobre conceptos importantes del WAF.

Para empezar a utilizar el servicio WAF, debe disponer de lo siguiente:

  • Asegúrese de que tiene los permisos de Política de servicio IAM necesaria.
  • Recomendamos que utilice un compartimiento independiente para la política de WAF para que la gestión sea más fácil y segura.
  • Un dominio de la aplicación web principal.
  • Dirección IP de LBaaS u otro punto final orientado al público de la aplicación.
  • Capacidad para actualizar registros de DNS para el dominio.
  • El servicio WAF solo admite tráfico en los puertos 80/443. Asegúrese de que la aplicación no se está ejecutando en otros puertos.

Además, si tiene previsto ejecutar el sitio en HTTPS/443, necesitará:

  • Certificado público para el nombre de dominio completo (FQDN) de la aplicación.
  • Clave privada correspondiente al sitio.
  • Certificado en formato PEM.
  • Certificado de cadena completa (es decir, raíz, intermedio y servidor de origen).
    Nota

    Los certificados SSL solo se pueden aplicar a la aplicación principal de la política.

Configuración inicial de la política de WAF

1. Creación de una política de perímetro para direccionar el tráfico a través de WAF

Para comenzar, cree una política de perímetro para enrutar el tráfico a través de WAF sin reglas activadas. Al crear una política sin reglas activadas, se garantiza que no haya regresiones con un proxy inverso delante de la aplicación.

Crear una política de perímetro
  1. Seleccione la región y el compartimento donde se debe mantener la política (no existe ninguna restricción acerca de la coexistencia de WAF con Load Balancing u otros recursos de aplicación en Oracle Cloud Infrastructure).

  2. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  3. Haga clic en Crear política de WAF.

  4. Observe la parte inferior de la página Basic Information para lo siguiente:

    Utilice el flujo de trabajo heredado aquí si necesita proteger sus aplicaciones web no OCI.

  5. Haga clic en el enlace para mostrar el cuadro de diálogo Crear política de perímetro.
  6. Complete los siguientes pasos:
    • Nombre: un nombre único para la política. Evite introducir información confidencial.
    • Dominios:
      • Dominio primario: nombre de dominio completo (FQDN) de la aplicación a la que se aplicará la política.
      • Dominios adicionales: (opcional) subdominios en los que se aplicará la política.
        Nota

        Se admiten dominios comodín, sin embargo, solo como dominios adicionales y únicamente a través de la API y CLI.

    • Origen de WAF: el host o la dirección IP de la aplicación dirigida a Internet pública que está protegida por la aplicación.
      • Nombre de origen: nombre único del origen.
      • URI: introduzca el punto final orientado al público (IPv4 o FQDN) de la aplicación.
      • Puerto HTTPS: puerto utilizado para la conexión HTTP segura. El puerto predeterminado es 443.
      • Puerto HTTP: puerto HTTP en el que recibe el origen. El puerto por defecto es 80.
      • Clientes: (opcional)
        • Nombre de cabecera: nombre mostrado en la cabecera de solicitud HTTP y el valor de cabecera que se puede agregar y transferir al servidor de origen con todas las solicitudes.
        • Valor de cabecera: especifica los datos solicitados por la cabecera.
    • Etiquetas: si tiene permiso para crear un recurso, también tendrá permiso para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si debe aplicar etiquetas, omita esta opción (puede aplicar etiquetas más tarde) o consulte con el administrador.
  7. Haga clic en Crear política de WAF. Aparece la visión general de Política de WAF. La política debe activarse en un plazo de 15 minutos tras su creación.

    Consulte Gestión de políticas de perímetro para obtener más información.

2. Actualización de timeout de mantenimiento de conexiones de origen

La política de perímetro requiere que los timeouts de mantenimiento de conexiones de origen (equilibrador de carga o servidor web) se mantengan durante 301 segundos o más, ya que nuestro valor de timeout ascendente es de 300 segundos. El segundo adicional tiene como objetivo garantizar que la conexión tenga tiempo suficiente para la renegociación cuando nuestros nodos creen conexiones y evitar problemas de conectividad. Esto se aplica a las llamadas de API, ya que utilizamos nuestra tecnología OCI Network Multiplexing, que ayuda a reducir los cuellos de botella de red y mejorar el rendimiento mediante la optimización del protocolo TCP.

Para probar el timeout de mantenimiento de conexión ascendente

Comprobación HTTP:

  1. Realice la solicitud contra el servidor de origen o ascendente. Ejecute el siguiente comando:
    time telnet www-origin.example.com 80
    Resultado de ejemplo:
    Trying 12.34.56.78...
    Connected to lb65-soc-191485947.us-east-1.elb.amazonaws.com.
    Escape character is '^]'.
  2. Realice una solicitud GET introduciendo las siguientes cabeceras HTTP:
    GET / HTTP/1.1
    Host: www.example.com
    Connection: keep-Alive
  3. Pulse ENTER dos veces y espere a que la sesión se cierre o se desconecte.

Comprobación HTTPS:

  1. Inicie la solicitud en el servidor de origen o ascendente. Ejecute el siguiente comando:
    time openssl s_client -connect www-origin.example.com:443
  2. Realice una solicitud GET introduciendo las siguientes cabeceras HTTP:
    GET / HTTP/1.1
    Host: www.example.com
    Connection: keep-Alive
  3. Pulse ENTER dos veces y espere a que la sesión se cierre o se desconecte.
Recibirá lo siguiente. En este ejemplo, la sección real muestra el tiempo real que la sesión ha permanecido activa (5,1 minutos (301 segundos)):
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
... 

<!DOCTYPE html>
<html>
...
</html> 

Connection closed by foreign host.
real 5m1.962s
user 0m0.011s
sys 0m0.009s

Consulte Gestión de origen para obtener más información.

3. Carga del certificado y la clave

Este paso asume que el sitio se ejecuta en HTTPS/443.

Para cargar el certificado y la clave
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.

    También puede abrir la página Firewall de aplicaciones web y hacer clic en Políticas en Recursos.

    Aparece la página WAF Policies.

  2. Seleccione el compartimento en la lista.

    Todas las políticas de WAF de ese compartimento se muestran en formato tabular.

  3. (Opcional) Aplicar uno o más de los siguientes filtros para limitar las políticas de WAF mostradas:
    • Estado

    • Nombre

    • Tipo de Política: seleccione Política de Edición.

  4. Seleccione la política de perímetro para la que desea cargar el certificado y la clave.

    Aparece el cuadro de diálogo Detalles de política de perímetro.

  5. Haga clic en Configuración en Política de WAF.
    Aparece la lista Configuración.
  6. Seleccione Configuración General.
  7. Haga clic en Editar.
    Aparece el cuadro de diálogo Editar configuración.
  8. Complete los siguientes pasos:
    • Activar soporte de HTTPS: haga clic en esta casilla de control para permitir el cifrado de todas las comunicaciones entre el explorador y la aplicación web.
      • Origen de certificado: seleccione uno de los siguientes métodos:
        • Seleccionar certificado: seleccione un certificado existente en el menú desplegable. Haga clic en Cambiar compartimento para seleccionar un certificado de otro compartimento.
        • Cargar o copiar certificado o clave privada
          • Arrastre y suelte, seleccione o pegue un certificado SSL válido en formato PEM. También debe incluir certificados intermedios (el certificado del sitio web debe ser el primero). Por ejemplo:

            -----BEGIN CERTIFICATE-----
            <Base64_encoded_certificate>
            -----END CERTIFICATE-----
            -----BEGIN CERTIFICATE-----
            <Intermediate_Base64_encoded_certificate>
            -----END CERTIFICATE-----
          • Clave privada: arrastre y suelte, seleccione o pegue una clave privada válida en formato PEM en este campo. La clave privada no se puede proteger con una frase de contraseña. Por ejemplo:

            -----BEGIN PRIVATE KEY-----
            <Base64_encoded_private_key>
            -----END PRIVATE KEY-----
      • certificado autónomo: active este campo si utiliza un certificado autofirmado para mostrar una advertencia SSL en el explorador.
      • Redireccionamiento de HTTP a HTTPS: cuando está activado, todo el tráfico HTTP se redirecciona automáticamente a HTTPS.
      • Soporte de protocolos de TLS: seleccione un protocolo de TLS en la lista desplegable.
        Precaución

        Las versiones 1 y 1.1 de TLS están en desuso y no se pueden utilizar en configuraciones de políticas. Si utiliza estas versiones, puede que se produzca un error de validación. Utilice las versiones 1.2 o 1.3 en su lugar.
      • Activar SNI: la indicación de nombre de servidor (SNI) es una extensión del protocolo TLS, que permite que una sola IP ofrezca varios nombres de host seguros.
      • Opciones avanzadas
        • Enable Response Buffering: active o desactive el almacenamiento en buffer de la respuesta de origen.
        • Control de Caché Respetado: activa o desactiva el almacenamiento en caché de contenido automático en función de la cabecera de control de caché de la respuesta.
        • Detrás de CDN: active esta opción para permitir la recopilación de direcciones IP de la solicitud de cliente si WAF está conectado a un CDN.
  9. Haga clic en Guardar cambios.
Debe publicar los cambios para que se apliquen. Consulte Publicación de cambios.

4. Prueba de la aplicación (antes de desplegarla en producción)

En este paso, se asegura de que las solicitudes se enrutan a WAF y que la aplicación sigue funcionando normalmente con un proxy inverso en la topología.

Prueba de la aplicación mediante un comando terminal
  1. Abra un terminal.

    Ejecute el siguiente comando para HTTP:

    curl -lvk http://<OCI_WAF_CNAME> -H "Host: <WEBAPP_DOMAIN>" -so /dev/null

    Ejecute el siguiente comando para HTTPS:

    curl -lvk https://<OCI_WAF_CNAME> -H "Host: <WEBAPP_DOMAIN>" -so /dev/null
  2. También puede ejecutar una consulta de DNS en <OCI_WAF_CNAME> para la política de WAF y copiar una de las direcciones IP del resultado obtenido.
    • Para ejecutar una consulta de DNS, puede utilizar uno de los siguientes comandos:
      dig <OCI_WAF_CNAME>
      nslookup <OCI_WAF_CNAME>
    • Copie cualquiera de las direcciones IP de los resultados obtenidos.
  3. Ejecute el siguiente comando. Sustituya <WEBAPP_DOMAIN> por el dominio de la política de WAF. Utilice el puerto 80 o 443. Sustituya <OCI_NODE_IP> por la dirección IP de OCI_WAF_CNAME.
    Query curl -vso/dev/null --resolve <WEBAPP_DOMAIN>:<PORT_80_OR_443>:<OCI_NODE_IP> https://<WEBAPP_DOMAIN>

    Se devuelve el código 200, 301, 302 o cualquier otro código de respuesta HTTP esperado.

    Nota

    Si recibe un error HTTP 5XX, asegúrese de haber actualizado la configuración del firewall para permitir nuestras direcciones IP. Si sigue experimentando problemas, abra una solicitud de servicio con My Oracle Support. En la solicitud de soporte, proporcione el OCID del compartimiento, el OCID de la política, una explicación del problema que está experimentando, un archivo HAR y la hora a la que se produjo el problema.
Prueba de la aplicación a través de un explorador web

Para probar su aplicación mediante un archivo de hosts, necesita una dirección IP para la aplicación. En la política, debe ver el CNAME que se le ha asignado. Puede obtener la dirección IP para su aplicación.

  1. Abra un terminal.
  2. Ejecute una consulta de DNS con cualquiera de los siguientes comandos:
    dig <OCI_WAF_CNAME>
    nslookup <OCI_WAF_CNAME>
  3. Copie una de las tres direcciones IP de la sección de respuesta de los resultados de un comando dig y péguela en un archivo de hosts con su nombre de dominio.
  4. Después de guardar el archivo de hosts, abra la aplicación en un explorador y verifique que funciona según lo previsto.

    Se devuelve el código 200, 301, 302 o cualquier otro código de respuesta HTTP esperado.

    Nota

    Si recibe un error HTTP 5XX, asegúrese de haber actualizado la configuración del firewall para permitir nuestras direcciones IP. Si sigue experimentando problemas, abra una solicitud de servicio con My Oracle Support. En la solicitud de soporte, proporcione el OCID del compartimiento, el OCID de la política, una explicación del problema que está experimentando, un archivo HAR y la hora a la que se produjo el problema.
Prueba de SSL
A continuación, se enumeran unas prácticas herramientas de línea de comandos que se pueden utilizar para validar certificados en una aplicación web determinada:
echo | openssl s_client -showcerts -servername <Domain> -connect <Domain>:443 2>/dev/null | openssl x509 -inform pem -noout -text
Preste especial atención a las fechas de validez del certificado y las fechas de caducidad que puedan causar problemas de conexión:
..
Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
        Validity
            Not Before: Jun  5 03:15:10 2020 GMT
            Not After : Sep  3 03:15:10 2020 GMT
        Subject: CN = www.example.com
        Subject Public Key Info:
...

También puede comprobar el certificado desde sitios web de terceros, como SSL Shooper o SSL labs, y realizar la validación allí.

5. Actualización de DNS para activar WAF

Después de confirmar que la aplicación web funciona correctamente con WAF, ahora puede continuar con la actualización global de DNS.

En este paso, actualizará el CNAME de su zona para dirigir las solicitudes de clientes de Internet a WAF. Utilice las siguientes instrucciones para realizar este cambio de DNS en la Consola. Si su configuración de DNS reside con otro proveedor, consulte la documentación correspondiente para obtener instrucciones.

Para actualizar el CNAME de su zona
  1. En el separador Información de política de la visión general de Política de WAF, seleccione Destino de CNAME.
  2. Copie el destino de CNAME en el portapapeles.
  3. Abra el menú de navegación y haga clic en Redes. En Gestión de DNS, haga clic en Visión general.
  4. Haga clic en el nombre de zona del dominio principal donde desea actualizar el registro. Aparecen los detalles de zona y una lista de registros.

  5. Seleccione la casilla de control para el registro de CNAME y seleccione Editar en el menú desplegable Acciones.
  6. En el cuadro de diálogo Editar registro, actualice el campo Destino con el destino de CNAME del portapapeles.
  7. Haga clic en Enviar.
  8. Haga clic en Publicar cambios.
  9. En el cuadro de diálogo de confirmación, haga clic en Publicar cambios.

6. Protección de WAF

Para proteger WAF, debe configurar los servidores para que acepten el tráfico procedente de los servidores de WAF. Configure las reglas de entrada de su origen para que acepte solo conexiones que procedan de los siguientes rangos de CIDR.

Rangos de CIDR
  • 129.146.12.128/25
  • 129.146.13.128/25
  • 129.146.14.128/25
  • 129.148.156.0/22
  • 129.213.0.128/25
  • 129.213.2.128/25
  • 129.213.4.128/25
  • 130.35.0.0/20
  • 130.35.112.0/22
  • 130.35.116.0/25
  • 130.35.120.0/21
  • 130.35.128.0/20
  • 130.35.144.0/20
  • 130.35.16.0/20
  • 130.35.176.0/20
  • 130.35.192.0/19
  • 130.35.224.0/22
  • 130.35.232.0/21
  • 130.35.240.0/20
  • 130.35.48.0/20
  • 130.35.64.0/19
  • 130.35.96.0/20
  • 130.35.228.0/22
  • 132.145.0.128/25
  • 132.145.2.128/25
  • 132.145.4.128/25
  • 134.70.16.0/22
  • 134.70.24.0/21
  • 134.70.32.0/22
  • 134.70.56.0/21
  • 134.70.64.0/22
  • 134.70.72.0/22
  • 134.70.76.0/22
  • 134.70.8.0/21
  • 134.70.80.0/22
  • 134.70.84.0/22
  • 134.70.88.0/22
  • 134.70.92.0/22
  • 134.70.96.0/22
  • 138.1.0.0/20
  • 138.1.104.0/22
  • 138.1.128.0/19
  • 138.1.16.0/20
  • 138.1.160.0/19
  • 138.1.192.0/20
  • 138.1.208.0/20
  • 138.1.224.0/19
  • 138.1.32.0/21
  • 138.1.40.0/21
  • 138.1.48.0/21
  • 138.1.64.0/20
  • 138.1.80.0/20
  • 138.1.96.0/21
  • 138.1.112.0/20
  • 140.204.0.128/25
  • 140.204.12.128/25
  • 140.204.16.128/25
  • 140.204.20.128/25
  • 140.204.24.128/25
  • 140.204.4.128/25
  • 140.204.8.128/25
  • 140.91.10.0/23
  • 140.91.12.0/22
  • 140.91.22.0/23
  • 140.91.24.0/22
  • 140.91.28.0/23
  • 140.91.30.0/23
  • 140.91.32.0/23
  • 140.91.34.0/23
  • 140.91.36.0/23
  • 140.91.38.0/23
  • 140.91.4.0/22
  • 140.91.40.0/23
  • 140.91.8.0/23
  • 147.154.0.0/18
  • 147.154.128.0/18
  • 147.154.192.0/20
  • 147.154.208.0/21
  • 147.154.224.0/19
  • 147.154.64.0/20
  • 147.154.80.0/21
  • 147.154.96.0/19
  • 192.157.18.0/24
  • 192.157.19.0/24
  • 192.29.0.0/20
  • 192.29.128.0/21
  • 192.29.138.0/23
  • 192.29.144.0/21
  • 192.29.152.0/22
  • 192.29.16.0/20
  • 192.29.160.0/21
  • 192.29.168.0/22
  • 192.29.172.0/25
  • 192.29.178.0/25
  • 192.29.180.0/22
  • 192.29.32.0/21
  • 192.29.40.0/22
  • 192.29.44.0/25
  • 192.29.48.0/21
  • 192.29.56.0/21
  • 192.29.60.0/23
  • 192.29.64.0/20
  • 192.29.96.0/20
  • 192.29.140.0/22
  • 192.69.118.0/23
  • 198.181.48.0/21
  • 199.195.6.0/23
  • 205.147.88.0/21

Activar WAF para detectar reglas de forma pasiva

Las reglas de protección de WAF agregan ciclos de CPU adicionales a cada transacción, por lo que recomendamos activar solo las reglas diseñadas para la topología de la aplicación web. WAF ofrece un conjunto de reglas recomendadas que no afectarán el rendimiento del sitio y funcionarán con gran parte de la aplicación web. Con la función de protección contra bots de WAF, la aplicación web está totalmente protegida contra las amenazas.

Si necesita ayuda para configurar WAF, puede abrir una solicitud de servicio con My Oracle Support solicitando ayuda para ajustar OCI WAF. Un experto le guiará a través del proceso.

Para ver recomendaciones de reglas de protección
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  2. Haga clic en el nombre de la política de WAF para la que desea ver recomendaciones de reglas de protección. Aparece la visión general de Política de WAF.
  3. Haga clic en Reglas de protección.
  4. Haga clic en el separador Recomendaciones. Esta lista se genera en función del tráfico que WAF detecta fluyendo a través del mismo WAF. Si no aparece nada en esta lista, siga probando el FQDN de la aplicación y vuelva a comprobarlo más tarde.
  5. Seleccione las reglas de protección con una acción recomendada Detectar y, a continuación, haga clic en Aceptar recomendaciones.
Consejo

Puede utilizar el filtro Acción recomendada para buscar una recomendación mediante Detectar.
Para activar el modo de detección de reglas de protección de WAF
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  2. Haga clic en el nombre de la política de WAF para la que desea configurar valores de reglas. Aparece la visión general de Política de WAF.
  3. Haga clic en Reglas de protección.
  4. Utilice la tabla Reglas de protección para buscar las reglas que desea detectar.
  5. Introduzca los ID de regla que ha localizado en la tabla en el filtro ID de regla. Para este ejemplo, introduzca 941140(scripts de sitios) en el filtro ID de regla.
  6. Seleccione Detectar en el menú desplegable Acciones para las reglas de protección que ha filtrado.

Consulte Reglas de protección de WAF para obtener más información.

Para activar el modo de detección de reglas de acceso de WAF
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  2. Haga clic en el nombre de la política de WAF para la que desea configurar reglas de acceso. Aparece la visión general de Política de WAF.
  3. Haga clic en Control de acceso.
  4. Haga clic en Agregar regla de acceso.
  5. En el cuadro de diálogo Agregar regla de acceso, introduzca lo siguiente:
    1. Nombre: DetectRequestsFromMySpecificBrowser
    2. Acción de regla: seleccione Solo detectar.
    3. Condiciones: seleccione La dirección IP es en el menú e introduzca la dirección IP que ha copiado en el portapapeles mientras probaba la aplicación en el campo Dirección IP.
    4. Haga clic en +Condición adicional.
    5. Condición: seleccione El agente de usuario es en el menú e introduzca el valor de agente que ha copiado en el portapapeles mientras probaba la aplicación en el campo Cabecera de agente de usuario.
    Nota

    Tanto la dirección IP como el agente de usuario del ejemplo anterior deben coincidir para que se dispare la regla. Si se utiliza un agente de usuario diferente para probar la aplicación, no se detectará la solicitud.

  6. Haga clic en Agregar regla de acceso.
  7. Haga clic en Cambios no publicados.
  8. Haga clic en Publicar todos.

Consulte Control de acceso para políticas de perímetro para obtener más información.

Para activar el modo de detección de reglas de BOT de WAF (comprobación de JavaScript)
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  2. Haga clic en el nombre de la política de WAF para la que desee configurar los valores de comprobación de JavaScript. Aparece la visión general de Política de WAF.
  3. Haga clic en Gestión de bots.
  4. Haga clic en Editar comprobación de JavaScript.
  5. En el cuadro de diálogo Comprobación de JavaScript, active la casilla de control Activar comprobación de JavaScript.
  6. En la sección Acción de comprobación de JavaScript, seleccione Solo detectar.

  7. Introduzca la siguiente información:

    • Activar condiciones: cuando la opción está activada, las condiciones deben coincidir para que se realice una acción definida. Consulte Control de acceso para políticas de perímetro para obtener más información sobre las condiciones y reglas.
    • Umbral de acción (número de solicitudes): especifique el número de solicitudes fallidas antes de realizar la acción. Debido a la solicitud asíncrona del explorador mientras se carga la página, se recomienda definir un umbral de 10 para aplicaciones web con uso de ajax básico y de 100 para aplicaciones con uso de ajax elevado.
    • Tiempo de caducidad de acción (segundos): introduzca el número de segundos entre comprobaciones en la misma dirección IP. Debido a los cambios de la dirección IP del cliente, se recomienda que el tiempo de caducidad se defina en 120 segundos para aplicaciones con usuarios móviles y en 3600 segundos para aplicaciones solo con usuarios de escritorio.
    • Seguir redireccionamientos: cuando la opción está activada, las respuestas de redireccionamiento del origen también se comprueban.
    • Activar soporte de NAT: cuando la opción está activada, el usuario se identifica no solo por la dirección IP, sino también por un hash adicional único, lo que evita que se bloqueen visitantes con direcciones IP compartidas. Se recomienda desactivar este soporte de NAT para aplicaciones de alta carga (más de 200 solicitudes por segundo).
  8. Haga clic en Guardar cambios.

La comprobación de JavaScript se agrega a la lista de cambios que se van a publicar.

Consulte Gestión de bots para obtener más información.

Para activar el modo de detección de reglas de BOT de WAF (comprobación de interacción humana)
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  2. Haga clic en el nombre de la política de WAF para la que desee configurar los valores de comprobación de JavaScript. Aparece la visión general de Política de WAF.
  3. Haga clic en Gestión de bots.
  4. Haga clic en el separador Comprobación de interacción humana.
  5. Haga clic en Editar comprobación de interacción humana.
  6. En el cuadro de diálogo Editar comprobación de interacción humana, seleccione la casilla de control Activar comprobación de interacción humana.
  7. En la sección Acción de interacción humana, seleccione Solo detectar.
  8. Introduzca la siguiente información:
    • Umbral de acción (número de solicitudes): especifique el número de solicitudes fallidas antes de realizar la acción. Debido a la solicitud asíncrona del explorador mientras se carga la página, se recomienda definir un umbral de 10 para aplicaciones web con uso de ajax básico y de 100 para aplicaciones con uso de ajax elevado.
    • Período de caducidad del umbral (segundos): número de segundos antes de que caduque el umbral.
    • Tiempo de caducidad de acción (segundos): introduzca el número de segundos entre comprobaciones en la misma dirección IP. Debido a los cambios de la dirección IP del cliente, se recomienda que el tiempo de caducidad se defina en 120 segundos para aplicaciones con usuarios móviles y en 3600 segundos para aplicaciones solo con usuarios de escritorio.
    • Umbral de interacción (número de interacciones): número de interacciones antes de que caduque el umbral.
    • Periodo de registro (segundos): periodo de tiempo para registrar los eventos del usuario.
    • Soporte de NAT: cuando la opción está activada, el usuario se identifica no solo por la dirección IP, sino también por un hash adicional único, lo que evita que se bloqueen visitantes con direcciones IP compartidas. Se recomienda desactivar el soporte para las aplicaciones de alta carga (más de 200 solicitudes por segundo).
  9. Haga clic en Guardar cambios.

La comprobación de interacción humana se agrega a la lista de cambios que se publicará.

Consulte Gestión de bots para obtener más información.

Consulte Gestión de políticas de perímetro para conocer el orden de procesamiento de WAF.

Prueba de las reglas

Cuando la política está activa, puede probar si WAF detecta las reglas.

Para iniciar solicitudes
  1. Utilice el mismo explorador que utilizó al probar la aplicación y realice lo siguiente:
    • Solicite el FQDN de su aplicación con el siguiente parámetro de consulta:
      ?id=<script>alert("TEST");</script>
  2. Utilice un explorador diferente en la misma máquina y repita las solicitudes anteriores. Todas las solicitudes deben pasar por la aplicación.
Para verificar que WAF detecta las solicitudes

Para verificar que WAF está detectando solicitudes identificadas como riesgo:

  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  2. Haga clic en el nombre de la política de WAF cuyos logs desea ver. Aparece la visión general de Política de WAF.
  3. Haga clic en Logs. Aparecen los logs para la política de WAF.
  4. Active la casilla de control Detectar del filtro Acciones.
  5. Verifique que hay dos entradas para la regla de protección disparada por la solicitud de scripts de sitios y una entrada para detectar el agente de usuario y la dirección IP.