Creación de una política de Web Application Firewall
Cree una política de firewall de aplicaciones web (WAF) que incluya reglas de acceso, reglas de limitación de velocidad y reglas de protección.
En la página de lista Políticas, seleccione Crear política de WAF. Si necesita ayuda para buscar la página de lista o la política, consulte Listado de políticas de Web Application Firewall.
1. Información básica
- Introduzca un nombre para la política de WAF o utilice el nombre por defecto.
- Seleccione el compartimento que va a contener la política de WAF.
- Seleccione la flecha Acciones para ver las acciones que desea agregar a la política de WAF. Por defecto, las siguientes acciones preconfiguradas están asociadas a la política de WAF:
- Acción de comprobación preconfigurada: la acción no detiene la ejecución de reglas. En su lugar, la acción genera un mensaje de log que documenta el resultado de la ejecución de las reglas.
- Acción de permiso preconfigurada: acción que, al hacer coincidir la regla, omite todas las reglas restantes en el módulo actual.
- Acción de código de respuesta 401 preconfigurada: devuelve una respuesta HTTP definida. La configuración del código de respuesta (las cabeceras y el cuerpo de la página de respuesta) determina la respuesta HTTP que se devuelve cuando se ejecuta esta acción.
- Para agregar otra acción a la política, seleccione Agregar acción y, a continuación, complete las siguientes opciones en el panel Agregar acciones. Para obtener más información, consulte Acciones para firewalls de aplicaciones web.
-
Nombre: introduzca el nombre de la acción.
-
Tipo: especifique el tipo de acción:
-
Comprobar: no para la ejecución de reglas. En su lugar, genera un mensaje de log que documenta el resultado de la regla.
Permitir: omite todas las reglas restantes del módulo actual.
Introducir respuesta HTTP: devuelve una respuesta HTTP definida.
Si selecciona este tipo, proporcione los siguientes valores.
-
-
Código de respuesta: seleccione la respuesta HTTP.
- Cabeceras: introduzca información de cabecera opcional:
-
Nombre de cabecera: introduzca el nombre de la cabecera.
-
Valor de cabecera: introduzca el valor asociado de la cabecera.
-
Seleccione + Otra cabecera para mostrar otra fila de cabecera en la que puede introducir un nombre de cabecera y un par de valores. Seleccione la X para suprimir la fila de cabecera asociada.
-
Cuerpo de la página Respuesta: proporciona detalles sobre un error, incluidas la causa y las instrucciones adicionales, si es necesario.
Introduzca el cuerpo de respuesta HTTP, por ejemplo, una respuesta de error de JSON:{"code":"403","message":"Forbidden"}
Puede activar el soporte de texto dinámico para agregar variables en el cuerpo de la página. Se admite la siguiente variable:
RequestID
El ID de solicitud puede ayudarle con el seguimiento y la gestión de una solicitud proporcionando un identificador de solicitud único expuesto en las cabeceras de solicitud y respuesta HTTP.
Cuando el ID de solicitud está activado, el nombre de cabecera por defecto X-Request-ID se incluye en la cabecera de solicitud HTTP desde el equilibrador de carga hasta las respuestas de cabecera HTTP y backend.
El siguiente ejemplo proporciona un cuerpo de respuesta HTTP con soporte de texto dinámico activado:
{"code":"403","message":"Forbidden","RequestId":"${http.request.id}"}
-
-
Seleccione Agregar acción.
-
Mostrar etiquetado: (opcional) agregue una o más etiquetas a la política de WAF.
Si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
-
Para trabajar con las opciones de política de perímetro heredadas, seleccione el enlace de flujo de trabajo heredado en la parte inferior de la página. Para obtener más información, consulte Políticas de perímetro.
Seleccione Siguiente.
2. Control de acceso
(Opcional) Utilice las opciones de Control de acceso para definir acciones explícitas para solicitudes y respuestas que cumplan diversas condiciones. Al activar el control de acceso, se muestra una lista de reglas de acceso asociadas al control de solicitud. Puede agregar, cambiar, editar o suprimir reglas. Para obtener más información, consulte Solicitar controles para una política de Web Application Firewall.
- Seleccione Activar control de acceso.
- En Control de solicitud, seleccione Agregar regla de acceso y proporcione la siguiente información para definir la regla:
- Nombre: introduzca un nombre para la regla de acceso.
- Condiciones: especifique las condiciones que se deben cumplir para que se produzca la acción de la regla. Consulte Descripción de condiciones.
- Acción de regla: seleccione la regla existente que desea seguir cuando se cumplan las condiciones anteriores, o bien seleccione Crear nueva acción para agregar una. Para obtener una descripción de las reglas preconfiguradas e instrucciones para agregar reglas, consulte la sección anterior, "Configuración de información básica".
- Seleccione Agregar regla de acceso.
- En Acción por defecto, en la lista Nombre de acción, seleccione la acción que se debe seguir cuando las solicitudes no coincidan con ningún grupo de reglas definido para la política.
- Seleccione Mostrar opciones de control de respuesta para mostrar la sección Control de respuesta y la lista Reglas de acceso. La lista contiene reglas de acceso asociadas al control de respuesta. Agregar y gestionar reglas de acceso y acciones para los controles de respuesta de la misma forma que para los controles de solicitud. Para obtener más información, consulte Control de respuesta para una política de Web Application Firewall.
Seleccione Siguiente.
3. Limitación de frecuencia
- Seleccione Activar para configurar reglas de limitación de frecuencia.
- En Reglas de limitación de frecuencia, seleccione Agregar regla de limitación de frecuencia y, a continuación, complete las opciones de la siguiente manera:
-
Nombre: introduzca un nombre para la regla de límite de frecuencia.
-
Condiciones: especifique las condiciones que se deben cumplir para que se produzca la acción de la regla. Consulte Descripción de condiciones.
- Configuración de limitación de velocidad: configure el número máximo de solicitudes que se pueden realizar desde una dirección IP única y el tiempo de la solicitud. Estas son las opciones:
- Límite de solicitudes: introduzca el número máximo de solicitudes que puede realizar una dirección IP única durante el valor de tiempo asignado en el cuadro Periodo en segundos.
- Período en segundos: introduzca el número máximo de segundos que se pueden realizar desde cada dirección IP única, como se especifica en el cuadro Límite de solicitudes.
- Duración de la acción en segundos: introduzca la duración en segundos de la aplicación de la acción cuando se alcanza el límite de solicitudes.
- Acción de regla: seleccione la regla existente que se debe seguir cuando se cumplan las condiciones anteriores, o bien seleccione Crear nueva acción para agregar una. Para obtener una descripción de las reglas preconfiguradas e instrucciones para agregar reglas, consulte la sección anterior sobre información básica.
Para obtener más información, consulte Acciones para firewalls de aplicaciones web.
-
Seleccione Siguiente.
4. Protección
(Opcional) Utilice estas opciones para aplicar capacidades de protección de solicitudes gestionadas por Oracle para capturar tráfico malicioso. Aplique las reglas de protección según sea necesario. Para obtener más información, consulte Protections for Web Application Firewall.
- Seleccione Activar para configurar reglas de protección.
- En Solicitar reglas de protección, seleccione Agregar regla de protección de solicitud y, a continuación, complete las opciones de la siguiente manera:
-
Nombre: introduzca un nombre para la regla de protección.
- Condición: especifique las condiciones que se deben cumplir para que se produzca la acción de la regla. Consulte Descripción de condiciones.
- Acción de regla: seleccione la regla existente que se debe seguir cuando se cumplan las condiciones anteriores, o bien seleccione Crear nueva acción para agregar una. Para obtener una descripción de las reglas preconfiguradas e instrucciones para agregar reglas, consulte la sección anterior, "Configuración de información básica".
-
Inspección de cuerpo: seleccione Activar inspección de cuerpo para permitir que el cuerpo de la solicitud HTTP se inspeccione para garantizar que el contenido del cuerpo de la solicitud se ajuste a todas las capacidades de protección especificadas en la regla de protección. Para obtener más información, consulte Inspección de cuerpo de solicitud HTTP.
- Capacidades de protección: muestra las capacidades de protección asignadas a la regla de protección. Seleccione Elegir capacidades de protección para abrir el cuadro de diálogo Elegir capacidades de protección. Examine las funciones de protección disponibles y asigne una o más a la regla de protección.
Puede filtrar las capacidades y seleccionar la flecha "abajo" en el extremo derecho de cada capacidad para ver su historial de versiones. Seleccione las capacidades de protección que desea agregar a la regla de protección y, a continuación, seleccione Seleccionar capacidades de protección.
Para obtener más información, consulte Protections for Web Application Firewall.
- Acciones: puede aplicar más acciones a una o más funciones de protección seleccionadas. Seleccione las capacidades de protección a las que desea afectar y, a continuación, seleccione uno de los siguientes comandos en el menú Acciones:
- Ver y editar configuración de funciones de protección: abre el cuadro de diálogo Ver y editar configuración de función de protección en el que puede editar la configuración de la función de protección.Nota
Este valor es global. Los valores que configure en este cuadro de diálogo se aplican a todas las funciones de protección asociadas a la regla de protección, independientemente de si están seleccionadas en la lista de funciones de protección. - Cambiar acción: abre el cuadro de diálogo Cambiar acción, en el que puede actualizar la acción realizada por las funciones de protección cuando se disparan.
- Suprimir: elimina las funciones de protección de la regla de protección.
- Ver y editar configuración de funciones de protección: abre el cuadro de diálogo Ver y editar configuración de función de protección en el que puede editar la configuración de la función de protección.
-
- Seleccione Agregar regla de protección de solicitud.
- Seleccione Mostrar Reglas de Protección de Respuesta para mostrar una lista de reglas de protección de respuesta.
- Para eliminar una regla, selecciónela y, a continuación, seleccione Suprimir.
- Para agregar una regla, seleccione Agregar regla de protección de respuesta.
- Agregue y gestione reglas de acceso y acciones para las acciones de protección de respuesta de la misma forma que para las protección de solicitud descritas anteriormente en esta sección.
- Seleccione una o más reglas de protección de solicitudes y, a continuación, seleccione el menú Acciones para aplicar una acción a todas las reglas seleccionadas. Puede seleccionar una de las siguientes opciones:
- Ver y editar configuración de reglas: abre el cuadro de diálogo Ver y editar configuración de reglas. Puede aplicar la siguiente configuración a cualquier regla de protección de solicitud que tenga activada la inspección del cuerpo HTTP:
- Número máximo de bytes permitidos: especifique el número de bytes en cada cuerpo del mensaje HTTP que se somete a la inspección. El valor oscila entre 0 y 8192.
- Acción que se toma si se supera el límite: seleccione una acción de la lista que se produzca si el tamaño del cuerpo del mensaje supera el número máximo especificado de bytes permitidos.
-
Activar inspección de cuerpo: activa la inspección del cuerpo del mensaje HTTP.
-
Desactivar inspección de cuerpo: desactiva la inspección del cuerpo del mensaje HTTP.
-
Suprimir: elimina las reglas de protección de solicitudes seleccionadas de la política.
- Ver y editar configuración de reglas: abre el cuadro de diálogo Ver y editar configuración de reglas. Puede aplicar la siguiente configuración a cualquier regla de protección de solicitud que tenga activada la inspección del cuerpo HTTP:
Seleccione Siguiente.
5. Seleccionar punto de aplicación
Utilice estas opciones para aplicar seguridad de firewall de aplicación web en el equilibrador de carga. Para obtener más información, consulte Firewalls para políticas de Web Application Firewall.
En Agregar firewalls, seleccione un equilibrador de carga incluido en el compartimento actual. Seleccione Cambiar compartimento para seleccionar equilibradores de carga de un compartimento diferente.
El equilibrador de carga que seleccione tiene aplicada la seguridad del firewall.
Seleccione Siguiente.
6. Revisar y crear
Revise la configuración de la política de WAF antes de completar el proceso de creación. Cada sección corresponde a las opciones configuradas para la política.
-
Revise que la información introducida en cada sección sea correcta y esté completa. Seleccione Editar en cualquier sección en la que desee realizar cambios.
-
Seleccione Crear política de WAF.
Utilice el comando oci waf web-app-firewall-policy create y los parámetros necesarios para crear una política de firewall de aplicación web:
oci waf web-app-firewall-policy create --compartment-id compartment_ocid [OPTIONS]
Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la referencia de comandos de la CLI.
Ejecute la operación CreateWebAppFirewallPolicy para crear una política de firewall de aplicación web.