Documentación de Oracle Cloud Infrastructure

Introducción a políticas de perímetro

Utilice el firewall de aplicaciones web para gestionar políticas de perímetro.

Antes de empezar

Consulte Visión general de Web Application Firewall para obtener información sobre conceptos importantes del servicio WAF.

Para empezar a utilizar el servicio WAF, debe disponer de lo siguiente:

  • Asegúrese de que tiene los permisos de Política de servicio IAM necesaria.
  • Recomendamos que utilice un compartimento independiente para la política de WAF para que la gestión sea más segura y fácil.
  • Un dominio de la aplicación web principal.
  • Dirección IP de LBaaS u otro punto final orientado al público de la aplicación.
  • Capacidad para actualizar registros de DNS para el dominio.
  • El servicio WAF solo admite tráfico en los puertos 80/443. Sin embargo, después de que las solicitudes lleguen a WAF en los puertos 80/443, podemos enviar las solicitudes al servidor de origen en cualquier puerto necesario. Por ejemplo:

    Usuario final → Puerto 80/443 → WAF → Puerto 443/8000/555/*** → Servidor de origen

    Asegúrese de que la aplicación no se esté ejecutando en otros puertos.
    Nota

    No puede utilizar WAF para tráfico como SSH, FTP o SMTP.

Además, si tiene previsto ejecutar el sitio en HTTPS/443, necesita:

  • Certificado público para el nombre de dominio completo (FQDN) de la aplicación.
  • Clave privada correspondiente al sitio.
  • Certificado en formato PEM.
  • Certificado de cadena completa (raíz, intermedio, servidor de origen)
    Nota

    Los certificados SSL solo se pueden aplicar a la aplicación principal de la política.

Los cambios en las políticas de perímetro suelen tardar entre 10 y 30 minutos en propagarse, según el cambio. Se tarda tanto en propagarse porque tenemos cientos de nodos a los que se transfieren nuevas configuraciones. Los siguientes cambios de funciones se propagan normalmente entre 10 y 15 minutos:

  • Políticas de bots
  • Comprobación de interacción humana (HIC)
  • Comprobación de huella de dispositivo
  • Comprobación de Javascript
  • Comprobación de CAPTCHA
  • Lista blanca de botes correctos
  • Reglas de acceso
  • Información
  • Listas de IP
  • Lista blanca de IP

Tenga en cuenta la siguiente información al trabajar con políticas de Edge:

  • IPv6 no está soportado actualmente.

  • WAF inspecciona, pero no modifica el cuerpo de la respuesta.
  • El límite de almacenamiento en caché es de 1 GB por política.
  • Para las limitaciones de carga de tamaño de archivo, el límite es de 1 GB. Para limitaciones de tamaño de archivo, tenga en cuenta lo siguiente:
    • El límite no depende del tipo de carga, como imágenes, vídeos, binarios, etc.
    • La cabecera Content-Type no afecta el límite. Solo se aplican diferentes reglas de protección en función de la cabecera Content-Type.
    • Las cargas que utilizan fragmentos o flujos no afectan al límite. En el modo de almacenamiento en buffer, el límite es de 1 GB para cargas y descargas. Sin embargo, algunos otros modos, incluido el flujo del cuerpo de respuesta, no tienen en cuenta el límite de 1 GB.
    • Las conexiones de WAF rara vez se cancelan. Se puede producir una cancelación debido a cargas grandes o conexiones lentas. Una vez que se vuelve a cargar el nodo de borde, se puede cancelar una conexión cuando se ejecuta un proceso de "limpieza", si el ciclo de solicitud o respuesta tarda demasiado.
  • Al utilizar el WAF con servicios de transmisión de contenido, puede que los servicios de transmisión de contenido se vean afectados porque nuestras reglas de protección requieren el almacenamiento en buffer del contenido HTML completo antes del análisis. Todo el contenido debe almacenarse en buffer en nuestro motor principal de reglas de protección, lo que puede provocar respuestas lentas o eventos que no muestren el contenido de flujo.
  • Puede crear o restaurar copias de seguridad de políticas de WAF con la CLI de OCI. Extraiga el archivo JSON completo de la aplicación web y, a continuación, vuelva a crearlo en partes. Le recomendamos que vuelva a crear la configuración principal en primer lugar y, a continuación, los desafíos y las funciones de seguridad de la aplicación web.
  • Puede activar WebSocket para una URL específica mediante la CLI con el siguiente comando:

    oci waas policy-config update --waas-policy-id ocid1.waaspolicy.oc1..[WAAS POLICY OCID] --websocket-path-prefixes '["/url/url/websocket"]'

    Nota

    El soporte de WebSocket impide el procesamiento de WAF en las rutas especificadas. Esto significa que si una regla de WAF está activada, no analiza las solicitudes que van a la URL excluida en la configuración. Sin embargo, se pueden activar otras medidas, como el desafío de interacción humana y la comprobación JavaScript, para proporcionar una capa adicional de seguridad para la URL de WebSocket.
  • La "clave" de la fuente de información sobre amenazas generada es diferente para cada política de WAF.

  • Solo puede realizar cambios en las políticas de perímetro cuando el estado de la política es ACTIVO.

Costo estimado para utilizar WAF

Utilice esta información para calcular los costos de uso del servicio WAF.
Puede estimar el costo de la siguiente manera:
  1. Vaya a: https://www.oracle.com/cloud/cost-estimator.html.
  2. Haga clic en Buscar y busque Red - WAF.
  3. Haga clic en Agregar.
  4. En Agregar configuración, haga clic en el menú situado junto al nombre del servicio, seleccione Agregar mediante SKU y, a continuación, introduzca el SKU.
  5. Haga clic en Agregar.

    En el estimador de costos, "Instancia" representa la política de WAF.

Configuración inicial de la política de WAF

1. Creación de una política de perímetro para enrutar el tráfico a través de WAF

Para comenzar, cree una política de perímetro para enrutar el tráfico a través de WAF sin reglas activadas. Al crear una política sin reglas activadas, se garantiza que no haya regresiones con un proxy inverso delante de la aplicación.

Para crear una política de perímetro

  1. Seleccione la región y el compartimento donde se debe mantener la política (no existe ninguna restricción acerca de la coexistencia de WAF con el equilibrador de carga u otros recursos de aplicación en Oracle Cloud Infrastructure).

  2. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.

  3. Haga clic en Crear política de WAF.

  4. Observe la parte inferior de la página Información básica para ver lo siguiente:

    Utilice el flujo de trabajo antiguo aquí si necesita proteger sus aplicaciones web que no sean de OCI.

  5. Haga clic en el enlace para mostrar el cuadro de diálogo Crear política de perímetro.
  6. Complete lo siguiente:
    • Nombre: un nombre único para la política.
    • Dominios:
      • Dominio primario: nombre de dominio completo (FQDN) de la aplicación a la que se aplicará la política.
      • Dominios adicionales: (opcional) subdominios en los que se aplicará la política.
        Nota

        Se admiten dominios comodín, sin embargo, solo como dominios adicionales y únicamente a través de la API y CLI.

    • Origen de WAF: el host o la dirección IP de la aplicación dirigida a Internet pública que está protegida.
      • Nombre de origen: nombre único del origen.
      • URI: introduzca el punto final orientado al público (IPv4 o FQDN) de la aplicación.
      • Puerto HTTPS: puerto utilizado para la conexión HTTP segura. El puerto predeterminado es 443.
      • Puerto HTTP: puerto HTTP en el que recibe el origen. El puerto por defecto es 80.
      • Cabeceras: (opcional)
        • Nombre de cabecera: nombre mostrado en la cabecera de solicitud HTTP y el valor de cabecera que se puede agregar y transferir al servidor de origen con todas las solicitudes.
        • Valor de cabecera: especifica los datos solicitados por la cabecera.
    • Etiquetas: si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
  7. Haga clic en Crear política de WAF. Aparece la visión general de Política de WAF. La política debe activarse en un plazo de 15 minutos tras su creación.

    Consulte Gestión de políticas de perímetro para obtener más información.

2. Actualización de timeout de mantenimiento de conexiones de origen

La política de perímetro requiere que los timeouts de mantenimiento de conexiones de origen (equilibrador de carga o servidor web) se mantengan durante 301 segundos o más, ya que nuestro valor de timeout ascendente es de 300 segundos. El segundo adicional tiene como objetivo garantizar que la conexión tenga tiempo suficiente para la renegociación cuando nuestros nodos creen conexiones y evitar problemas de conectividad. Esto se aplica a las llamadas de API, ya que utilizamos nuestra tecnología OCI Network Multiplexing, que ayuda a reducir los cuellos de botella de red y mejorar el rendimiento mediante la optimización del protocolo TCP.

Para probar el timeout de mantenimiento de conexión ascendente

Comprobación HTTP:

  1. Realice la solicitud contra el servidor de origen o ascendente. Ejecute el siguiente comando:
    time telnet www-origin.example.com 80
    Resultado de ejemplo:
    Trying 12.34.56.78...
Connected to lb65-soc-191485947.us-east-1.elb.amazonaws.com.
Escape character is '^]'.
  2. Realice una solicitud GET introduciendo las siguientes cabeceras HTTP:
    GET / HTTP/1.1
Host: www.example.com
Connection: keep-Alive
  3. Pulse ENTER dos veces y espere a que la sesión se cierre o se desconecte.

Comprobación HTTPS:

  1. Inicie la solicitud en el servidor de origen o ascendente. Ejecute el siguiente comando:
    time openssl s_client -connect www-origin.example.com:443
  2. Realice una solicitud GET introduciendo las siguientes cabeceras HTTP:
    GET / HTTP/1.1
Host: www.example.com
Connection: keep-Alive
  3. Pulse ENTER dos veces y espere a que la sesión se cierre o se desconecte.
Recibirá lo siguiente. En este ejemplo, la sección real muestra el tiempo real que la sesión ha permanecido activa (5,1 minutos (301 segundos)):
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
... 

<!DOCTYPE html>
<html>
...
</html> 

Connection closed by foreign host.
real 5m1.962s
user 0m0.011s
sys 0m0.009s

Consulte Gestión de origen para obtener más información.

3. Carga del certificado y la clave

Este paso asume que el sitio se ejecuta en HTTPS/443.

Para cargar el certificado y la clave
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.

    También puede abrir la página Web Application Firewall y hacer clic en Políticas en Recursos.

    Aparece la página Políticas de WAF.

  2. Seleccione el Compartimento en la lista.

    Todas las políticas de WAF de ese compartimento se muestran en formato tabular.

  3. (Opcional) Aplique uno o más de los siguientes filtros para limitar las políticas de WAF que se muestran:

    • Estado

    • Nombre

    • Tipo de política: seleccione Política de perímetro.

  4. Seleccione la política de perímetro para la que desea cargar el certificado y la clave.

    Aparece el cuadro de diálogo Detalles de política de perímetro.

  5. Haga clic en Configuración en Política de WAF.
    Aparece la lista Configuración.
  6. Seleccione Configuración general.
  7. Haga clic en Editar.
    Aparece el cuadro de diálogo Editar configuración.
  8. Complete lo siguiente:
    • Activar soporte de HTTPS: haga clic en esta casilla de control para permitir el cifrado de todas las comunicaciones entre el explorador y la aplicación web.
      • Origen de certificado: seleccione uno de los siguientes métodos:
        • Elegir certificado: seleccione un certificado existente en el menú desplegable. Haga clic en Cambiar compartimento para seleccionar un certificado de otro compartimento.
        • Cargar o copiar certificado o clave privada

          • Arrastre y suelte, seleccione o pegue un certificado SSL válido en formato PEM. También debe incluir certificados intermedios (el certificado del sitio web debe ser el primero). Por ejemplo:

            -----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Intermediate_Base64_encoded_certificate>
-----END CERTIFICATE-----

          • Clave privada: arrastre y suelte, seleccione o pegue una clave privada válida en formato PEM en este campo. La clave privada no se puede proteger con una frase de contraseña. Por ejemplo:

            -----BEGIN PRIVATE KEY-----
<Base64_encoded_private_key>
-----END PRIVATE KEY-----
      • Certificado autofirmado: active este campo si utiliza un certificado autofirmado para mostrar una advertencia SSL en el explorador.
      • Redireccionamiento HTTP a HTTPS: cuando está activado, todo el tráfico HTTP se redirige automáticamente a HTTPS.
      • Soporte de protocolos de TLS: seleccione un protocolo de TLS en la lista desplegable.
        Precaución

        Las versiones 1 y 1.1 de TLS están en desuso y no se pueden utilizar en configuraciones de políticas. Si utiliza estas versiones, puede que se produzca un error de validación. Utilice las versiones 1.2 o 1.3 en su lugar.
      • Activar SNI: la indicación de nombre de servidor (SNI) es una extensión del protocolo TLS, que permite que una sola IP ofrezca varios nombres de host seguros.
      • Opciones avanzadas
        • Activar almacenamiento en buffer de respuesta: active o desactive el almacenamiento en buffer de la respuesta de origen.
        • Cumple el control de caché: active o desactive el almacenamiento de contenido en caché automático en función de la cabecera cache-control de respuesta.
        • Detrás de CDN: active esta opción para permitir la recopilación de direcciones IP de la solicitud de cliente si WAF está conectado a un CDN.
  9. Haga clic en Guardar cambios.
Debe publicar los cambios para que se apliquen. Consulte Publicación de cambios.

4. Prueba de la aplicación (antes de desplegarla en producción)

En este paso, se asegura de que las solicitudes se enrutan a WAF y que la aplicación sigue funcionando normalmente con un proxy inverso en la topología.

Prueba de la aplicación mediante un comando terminal
  1. Abra un terminal.

    Ejecute el siguiente comando para HTTP:

    curl -lvk http://<OCI_WAF_CNAME> -H "Host: <WEBAPP_DOMAIN>" -so /dev/null

    Ejecute el siguiente comando para HTTPS:

    curl -lvk https://<OCI_WAF_CNAME> -H "Host: <WEBAPP_DOMAIN>" -so /dev/null
  2. También puede ejecutar una consulta de DNS en <OCI_WAF_CNAME> para la política de WAF y copiar una de las direcciones IP del resultado obtenido.
    • Para ejecutar una consulta de DNS, puede utilizar uno de los siguientes comandos:
      dig <OCI_WAF_CNAME>
      nslookup <OCI_WAF_CNAME>
    • Copie cualquiera de las direcciones IP de los resultados obtenidos.
  3. Ejecute el siguiente comando. Sustituya <WEBAPP_DOMAIN> por el dominio de la política de WAF. Utilice el puerto 80 o 443. Sustituya <OCI_NODE_IP> por la dirección IP de OCI_WAF_CNAME.
    Query curl -vso/dev/null --resolve <WEBAPP_DOMAIN>:<PORT_80_OR_443>:<OCI_NODE_IP> https://<WEBAPP_DOMAIN>

    Se devuelve el código 200, 301, 302 o cualquier otro código de respuesta HTTP esperado.

    Nota

    Si recibe un error HTTP 5XX, asegúrese de haber actualizado la configuración del firewall para permitir nuestras direcciones IP. Si sigue experimentando problemas, abra una solicitud de servicio con My Oracle Support. En la solicitud de soporte, proporcione el OCID del compartimiento, el OCID de la política, una explicación del problema que está experimentando, un archivo HAR y la hora a la que se produjo el problema.
Prueba de la aplicación a través de un explorador web

Para probar su aplicación mediante un archivo de hosts, necesita una dirección IP para la aplicación. En la política, debe ver el CNAME que se le ha asignado. Puede obtener la dirección IP para su aplicación.

  1. Abra un terminal.
  2. Ejecute una consulta de DNS con cualquiera de los siguientes comandos:
    dig <OCI_WAF_CNAME>
    nslookup <OCI_WAF_CNAME>
  3. Copie una de las tres direcciones IP de la sección de respuesta de los resultados de un comando dig y péguela en un archivo de hosts con su nombre de dominio.
  4. Después de guardar el archivo de hosts, abra la aplicación en un explorador y verifique que funciona según lo previsto.

    Se devuelve el código 200, 301, 302 o cualquier otro código de respuesta HTTP esperado.

    Nota

    Si recibe un error HTTP 5XX, asegúrese de haber actualizado la configuración del firewall para permitir nuestras direcciones IP. Si sigue experimentando problemas, abra una solicitud de servicio con My Oracle Support. En la solicitud de soporte, proporcione el OCID del compartimiento, el OCID de la política, una explicación del problema que está experimentando, un archivo HAR y la hora a la que se produjo el problema.
Prueba de SSL
A continuación, se enumeran unas prácticas herramientas de línea de comandos que se pueden utilizar para validar certificados en una aplicación web determinada:
echo | openssl s_client -showcerts -servername <Domain> -connect <Domain>:443 2>/dev/null | openssl x509 -inform pem -noout -text
Preste especial atención a las fechas de validez del certificado y las fechas de caducidad que puedan causar problemas de conexión:
..
Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
        Validity
            Not Before: Jun  5 03:15:10 2020 GMT
            Not After : Sep  3 03:15:10 2020 GMT
        Subject: CN = www.example.com
        Subject Public Key Info:
...

También puede comprobar el certificado desde sitios web de terceros, como SSL Shooper o SSL labs, y realizar la validación allí.

5. Actualización de DNS para activar WAF

Después de confirmar que la aplicación web funciona correctamente con WAF, ahora puede continuar con la actualización global de DNS.

En este paso, actualizará el CNAME de su zona para dirigir las solicitudes de clientes de Internet a WAF. Utilice las siguientes instrucciones para realizar este cambio de DNS en la Consola. Si su configuración de DNS reside con otro proveedor, consulte la documentación correspondiente para obtener instrucciones.

Para actualizar el CNAME de su zona
  1. En el separador Información de política de la visión general de Política de WAF, seleccione Destino de CNAME.
  2. Copie el destino de CNAME en el portapapeles.
  3. Abra el menú de navegación y haga clic en Redes. En Gestión de DNS, haga clic en Zonas.

  4. Haga clic en el nombre de zona del dominio principal donde desea actualizar el registro. Aparecen los detalles de zona y una lista de registros.

  5. Seleccione la casilla de control para el registro de CNAME y seleccione Editar en el menú desplegable Acciones.
  6. En el cuadro de diálogo Editar registro, actualice el campo Destino con el destino de CNAME del portapapeles.
  7. Haga clic en Enviar.
  8. Haga clic en Publicar cambios.
  9. En el cuadro de diálogo de confirmación, haga clic en Publicar cambios.

6. Protección de WAF

Para proteger WAF, debe configurar los servidores para que acepten el tráfico procedente de los servidores de WAF. Configure las reglas de entrada de su origen para que acepte solo conexiones que procedan de los siguientes rangos de CIDR.

Rangos de CIDR
  • 129.146.12.128/25
  • 129.146.13.128/25
  • 129.146.14.128/25
  • 129.148.156.0/22
  • 129.213.0.128/25
  • 129.213.2.128/25
  • 129.213.4.128/25
  • 130.35.0.0/20
  • 130.35.112.0/22
  • 130.35.116.0/25
  • 130.35.120.0/21
  • 130.35.128.0/20
  • 130.35.144.0/20
  • 130.35.16.0/20
  • 130.35.176.0/20
  • 130.35.192.0/19
  • 130.35.224.0/22
  • 130.35.232.0/21
  • 130.35.240.0/20
  • 130.35.48.0/20
  • 130.35.64.0/19
  • 130.35.96.0/20
  • 130.35.228.0/22
  • 132.145.0.128/25
  • 132.145.2.128/25
  • 132.145.4.128/25
  • 134.70.16.0/22
  • 134.70.24.0/21
  • 134.70.32.0/22
  • 134.70.56.0/21
  • 134.70.64.0/22
  • 134.70.72.0/22
  • 134.70.76.0/22
  • 134.70.8.0/21
  • 134.70.80.0/22
  • 134.70.84.0/22
  • 134.70.88.0/22
  • 134.70.92.0/22
  • 134.70.96.0/22
  • 138.1.0.0/20
  • 138.1.104.0/22
  • 138.1.128.0/19
  • 138.1.16.0/20
  • 138.1.160.0/19
  • 138.1.192.0/20
  • 138.1.208.0/20
  • 138.1.224.0/19
  • 138.1.32.0/21
  • 138.1.40.0/21
  • 138.1.48.0/21
  • 138.1.64.0/20
  • 138.1.80.0/20
  • 138.1.96.0/21
  • 138.1.112.0/20
  • 140.204.0.128/25
  • 140.204.12.128/25
  • 140.204.16.128/25
  • 140.204.20.128/25
  • 140.204.24.128/25
  • 140.204.4.128/25
  • 140.204.8.128/25
  • 140.91.10.0/23
  • 140.91.12.0/22
  • 140.91.22.0/23
  • 140.91.24.0/22
  • 140.91.28.0/23
  • 140.91.30.0/23
  • 140.91.32.0/23
  • 140.91.34.0/23
  • 140.91.36.0/23
  • 140.91.38.0/23
  • 140.91.4.0/22
  • 140.91.40.0/23
  • 140.91.8.0/23
  • 147.154.0.0/18
  • 147.154.128.0/18
  • 147.154.192.0/20
  • 147.154.208.0/21
  • 147.154.224.0/19
  • 147.154.64.0/20
  • 147.154.80.0/21
  • 147.154.96.0/19
  • 192.157.18.0/24
  • 192.157.19.0/24
  • 192.29.0.0/20
  • 192.29.128.0/21
  • 192.29.138.0/23
  • 192.29.144.0/21
  • 192.29.152.0/22
  • 192.29.16.0/20
  • 192.29.160.0/21
  • 192.29.168.0/22
  • 192.29.172.0/25
  • 192.29.178.0/25
  • 192.29.180.0/22
  • 192.29.32.0/21
  • 192.29.40.0/22
  • 192.29.44.0/25
  • 192.29.48.0/21
  • 192.29.56.0/21
  • 192.29.60.0/23
  • 192.29.64.0/20
  • 192.29.96.0/20
  • 192.29.140.0/22
  • 192.69.118.0/23
  • 198.181.48.0/21
  • 199.195.6.0/23
  • 205.147.88.0/21

Activar WAF para detectar reglas de forma pasiva

Las reglas de protección de WAF agregan ciclos de CPU adicionales a cada transacción, por lo que recomendamos activar solo las reglas diseñadas para la topología de la aplicación web. WAF ofrece un conjunto de reglas recomendadas que no afectarán el rendimiento del sitio y funcionarán con gran parte de la aplicación web. Con la función de protección contra bots de WAF, la aplicación web está totalmente protegida contra las amenazas.

Si necesita ayuda para configurar WAF, puede abrir una solicitud de servicio con My Oracle Support solicitando ayuda para ajustar OCI WAF. Un experto le guiará a través del proceso.

Para ver recomendaciones de reglas de protección
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  2. Haga clic en el nombre de la política de WAF para la que desea ver recomendaciones de reglas de protección. Aparece la visión general de Política de WAF.
  3. Haga clic en Reglas de protección.
  4. Haga clic en el separador Recomendaciones. Esta lista se genera en función del tráfico que WAF detecta fluyendo a través del mismo WAF. Si no aparece nada en esta lista, siga probando el FQDN de la aplicación y vuelva a comprobarlo más tarde.
  5. Seleccione las reglas de protección con una acción recomendada Detectar y, a continuación, haga clic en Aceptar recomendaciones.
Consejo

Puede utilizar el filtro Acción recomendada para buscar una recomendación mediante Detectar.
Para activar el modo de detección de reglas de protección de WAF
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  2. Haga clic en el nombre de la política de WAF para la que desea configurar valores de reglas. Aparece la visión general de Política de WAF.
  3. Haga clic en Reglas de protección.
  4. Utilice la tabla Reglas de protección para buscar las reglas que desea detectar.
  5. Introduzca los ID de regla que ha localizado en la tabla en el filtro ID de regla. Para este ejemplo, introduzca 941110(scripts de sitios) en el filtro ID de regla.
  6. Seleccione Detectar en el menú desplegable Acciones para las reglas de protección que haya filtrado.

Consulte Reglas de protección de WAF para obtener más información.

Para activar el modo de detección de reglas de acceso de WAF
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  2. Haga clic en el nombre de la política de WAF para la que desea configurar reglas de acceso. Aparece la visión general de Política de WAF.
  3. Haga clic en Control de acceso.
  4. Haga clic en Agregar regla de acceso.
  5. En el cuadro de diálogo Agregar regla de acceso, introduzca lo siguiente:
    1. Nombre: DetectRequestsFromMySpecificBrowser
    2. Acción de regla: seleccione Solo detectar.
    3. Condiciones: seleccione La dirección IP es en el menú e introduzca la dirección IP que ha copiado en el portapapeles mientras probaba la aplicación en el campo Dirección IP.
    4. Haga clic en +Condición adicional.
    5. Condición: seleccione El agente de usuario es en el menú e introduzca el valor de agente que ha copiado en el portapapeles mientras probaba la aplicación en el campo Cabecera de agente de usuario.
    Nota

    Tanto la dirección IP como el agente de usuario del ejemplo anterior deben coincidir para que se dispare la regla. Si se utiliza un agente de usuario diferente para probar la aplicación, no se detectará la solicitud.

  6. Haga clic en Agregar regla de acceso.
  7. Haga clic en Cambios no publicados.
  8. Haga clic en Publicar Todos.

Consulte Control de acceso para políticas de perímetro para obtener más información.

Para activar el modo de detección de reglas de BOT de WAF (comprobación de JavaScript)
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  2. Haga clic en el nombre de la política de WAF para la que desee configurar los valores de comprobación de JavaScript. Aparece la visión general de Política de WAF.
  3. Haga clic en Gestión de bots.
  4. Haga clic en Editar comprobación de JavaScript.
  5. En el cuadro de diálogo Comprobación de JavaScript, active la casilla de control Activar comprobación de JavaScript.

  6. En la sección Acción de comprobación de JavaScript, seleccione Solo detectar.

  7. Introduzca la siguiente información:

    • Activar condiciones: cuando la opción está activada, las condiciones deben coincidir para que se realice una acción definida. Consulte Control de acceso para políticas de perímetro para obtener más información sobre las condiciones y reglas.
    • Umbral de acción (número de solicitudes): especifique el número de solicitudes fallidas antes de realizar la acción. Debido a la solicitud asíncrona del explorador mientras se carga la página, se recomienda definir un umbral de 10 para aplicaciones web con uso de ajax básico y de 100 para aplicaciones con uso de ajax elevado.
    • Tiempo de caducidad de acción (segundos): introduzca el número de segundos entre comprobaciones en la misma dirección IP. Debido a los cambios de la dirección IP del cliente, se recomienda que el tiempo de caducidad se defina en 120 segundos para aplicaciones con usuarios móviles y en 3600 segundos para aplicaciones solo con usuarios de escritorio.
    • Seguir redireccionamientos: cuando la opción está activada, las respuestas de redireccionamiento del origen también se comprueban.
    • Activar soporte de NAT: cuando la opción está activada, el usuario se identifica no solo por la dirección IP, sino también por un hash adicional único, lo que evita que se bloqueen visitantes con direcciones IP compartidas. Se recomienda desactivar este soporte de NAT para aplicaciones de alta carga (más de 200 solicitudes por segundo).
  8. Haga clic en Guardar Cambios.

La comprobación de JavaScript se agrega a la lista de cambios que se van a publicar.

Consulte Gestión de bots para obtener más información.

Para activar el modo de detección de reglas de BOT de WAF (comprobación de interacción humana)
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  2. Haga clic en el nombre de la política de WAF para la que desee configurar los valores de comprobación de JavaScript. Aparece la visión general de Política de WAF.
  3. Haga clic en Gestión de bots.
  4. Haga clic en el separador Comprobación de interacción humana.
  5. Haga clic en Editar comprobación de interacción humana.
  6. En el cuadro de diálogo Editar comprobación de interacción humana, seleccione la casilla de control Activar comprobación de interacción humana.
  7. En la sección Acción de interacción humana, seleccione Solo detectar.
  8. Introduzca la siguiente información:
    • Umbral de acción (número de solicitudes): especifique el número de solicitudes fallidas antes de realizar la acción. Debido a la solicitud asíncrona del explorador mientras se carga la página, se recomienda definir un umbral de 10 para aplicaciones web con uso de ajax básico y de 100 para aplicaciones con uso de ajax elevado.
    • Período de caducidad del umbral (segundos): número de segundos antes de que caduque el umbral.
    • Tiempo de caducidad de acción (segundos): introduzca el número de segundos entre comprobaciones en la misma dirección IP. Debido a los cambios de la dirección IP del cliente, se recomienda que el tiempo de caducidad se defina en 120 segundos para aplicaciones con usuarios móviles y en 3600 segundos para aplicaciones solo con usuarios de escritorio.
    • Umbral de interacción (número de interacciones): número de interacciones antes de que caduque el umbral.
    • Periodo de registro (segundos): periodo de tiempo para registrar los eventos del usuario.
    • Soporte de NAT: cuando la opción está activada, el usuario se identifica no solo por la dirección IP, sino también por un hash adicional único, lo que evita que se bloqueen visitantes con direcciones IP compartidas. Se recomienda desactivar el soporte para las aplicaciones de alta carga (más de 200 solicitudes por segundo).
  9. Haga clic en Guardar Cambios.

La comprobación de interacción humana se agrega a la lista de cambios que se publicará.

Consulte Gestión de bots para obtener más información.

Consulte Gestión de políticas de perímetro para obtener información sobre el orden de procesamiento de WAF.

Prueba de las reglas

Cuando la política está activa, puede probar si WAF detecta las reglas.

Para iniciar solicitudes
  1. Utilice el mismo explorador que utilizó al probar la aplicación y realice lo siguiente:
    • Solicite el FQDN de su aplicación con el siguiente parámetro de consulta: 
      ?id=<script>alert("TEST");</script>
  2. Utilice un explorador diferente en la misma máquina y repita las solicitudes anteriores. Todas las solicitudes deben pasar por la aplicación.
Para verificar que WAF detecta las solicitudes

Para verificar que WAF está detectando solicitudes identificadas como riesgo:

  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
  2. Haga clic en el nombre de la política de WAF cuyos logs desea ver. Aparece la visión general de Política de WAF.
  3. Haga clic en Logs. Aparecen los logs para la política de WAF.
  4. Active la casilla de control Detectar del filtro Acciones.
  5. Verifique que hay dos entradas para la regla de protección disparada por la solicitud de scripts de sitios y una entrada para detectar el agente de usuario y la dirección IP.