Introducción a las políticas de firewall de aplicaciones web
Empiece a crear y gestionar una política de firewall de aplicaciones web.
Antes de empezar
Consulte Política de servicio de IAM necesaria para conocer los conceptos importantes sobre el firewall de la aplicación web.
Para empezar a utilizar el servicio WAF, debe disponer de lo siguiente:
-
Asegúrese de que tiene los permisos de Política de servicio IAM necesaria.
-
Recomendamos que utilice un compartimento independiente para la política de firewall de aplicación web para que la gestión sea más fácil y segura. Consulte Gestión de compartimentos para obtener más información.
-
Un equilibrador de carga con un listener HTTP.
Puede realizar cambios en la política de firewall de la aplicación web solo cuando el estado de la política es ACTIVO.
Formas de acceder al servicio Web Application Firewall
Puede acceder a Oracle Cloud Infrastructure (OCI) utilizando la consola (una interfaz basada en explorador), la API de REST o la CLI de OCI. A lo largo de esta documentación se incluyen temas con instrucciones para utilizar la consola, la API y la CLI. Para obtener una lista de los SDK disponibles, consulte Software development kits e interfaz de línea de comandos.
Para acceder a la Console, debe utilizar un explorador soportado. Para ir a la página de conexión de la consola, abra el menú de navegación situado en la parte superior de esta página y haga clic en Consola de Infrastructure. Se le solicitará que introduzca el inquilino en la nube, el nombre de usuario y la contraseña.
Funciones y límites del servicio Web Application Firewall
El servicio Web Application Firewall (WAF) tiene las siguientes capacidades y límites:
-
Políticas de Web Application Firewall: 100 por inquilino.
-
Listas de direcciones de red: 100 por inquilino.
Para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite, consulte Límites de servicio. Para definir límites específicos de compartimentos en un recurso o familia de recursos, los administradores pueden utilizar cuotas de compartimento.Nota
El servicio WAF permite un tiempo de ejecución total de 10 minutos para los procesos de carga y descarga a través del firewall de aplicación web.
- La política de WAF no soporta el equilibrador de carga de red. La política de WAF solo soporta el equilibrador de carga.
- El listener TCP no es compatible con la política de WAF. La política de WAF solo soporta listeners HTTP.
-
La política de WAF soporta IPv6. La política de WAF se asocia directamente al equilibrador de carga, donde puede seleccionar el soporte de IPv6.
Después de crear un equilibrador de carga y elegir el tipo, seleccione Activar asignación de dirección IPv6.
Al crear un equilibrador de carga, puede optar por tener una configuración de doble pila IPv4/IPv6. Al seleccionar la opción IPv6, el servicio Equilibrador de carga asigna una dirección IPv4 y una dirección IPv6 al equilibrador de carga. El equilibrador de carga recibe el tráfico de cliente enviado a la dirección IPv6 asignada. El equilibrador de carga solo utiliza direcciones IPv4 para comunicarse con servidores de backend. No existe la comunicación IPv6 entre el equilibrador de carga y los servidores de backend.Nota
La asignación de direcciones IPv6 solo se produce durante la creación del equilibrador de carga. No puede asignar una dirección IPv6 a un equilibrador de carga existente. - Las políticas de WAF son para una sola región. No se puede utilizar una política de WAF en varias regiones a la vez.
- Se puede utilizar una sola política con varios equilibradores de carga. Puede utilizar una política con varios equilibradores de carga siempre que todos los equilibradores de carga estén en la misma región que la política.
- Las reglas de política de WAF se ejecutan en el siguiente orden:
- WAF requestAccessControl
- WAF requestRateLimiting
- WAF requestProtection
- requestProtection regla 1
- modo CHECK de inspección de cabecera protectionCapabilities
- modo BLOCK de inspección de cabecera protectionCapabilities
- modo CHECK de inspección de cuerpo protectionCapabilities
- modo BLOCK de inspección de cuerpo protectionCapabilities
- requestProtection regla 2
- requestProtection regla N
- requestProtection regla 1
- <solicitud reenviada al backend y se recibe la respuesta>
- WAF responseAccessControl
- WAF responseProtection
- responseProtection regla 1
- modo CHECK de inspección de cabecera protectionCapabilities
- modo BLOCK de inspección de cabecera protectionCapabilities
- modo CHECK de inspección de cuerpo protectionCapabilities
- modo BLOCK de inspección de cuerpo protectionCapabilities
- responseProtection regla 2
- responseProtection regla N
- responseProtection regla 1
Política de servicio IAM necesaria
Para utilizar Oracle Cloud Infrastructure, debe tener acceso a una política de waas. Si intenta realizar una acción y obtiene un mensaje que indica que no tiene permiso o no está autorizado, confirme con el administrador el tipo de acceso que se le ha otorgado y el compartimento en el que debe trabajar.
Lista de permisos necesarios:
Allow group-id to manage waas-family in compartment_ocid
Allow group-id to manage web-app-firewall in compartment_ocid
Allow group-id to manage waf-policy in compartment_ocid
Allow group-id to use waf-network-address-list in compartment_ocidEjemplos de políticas:
- Para permitir que un grupo de usuarios específico gestione el firewall de aplicación web en su arrendamiento:
Allow group-id to manage web-app-firewall in tenancy - Para permitir que un grupo de usuarios específico inspeccione las políticas de firewall de aplicación web en un compartimento específico:
Allow group-id to inspect waf-policy in compartment_ocid - Para permitir que un grupo de usuarios específico utilice listas de direcciones de red del firewall de aplicación web en su arrendamiento:
Allow group-id to use waf-network-address-list in tenancy
Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes. Para obtener más detalles sobre las políticas de WAF, consulte Detalles del servicio WAF.