Reglas de acceso para políticas de perímetro
Utilice el firewall de aplicaciones web para gestionar reglas de acceso en una política de perímetro.
Como administrador de WAF, puede definir acciones explícitas para solicitudes que cumplan varias condiciones. Las condiciones utilizan varias operaciones y expresiones regulares. Se puede definir una acción de regla para registrar y permitir, detectar, bloquear, redirigir, omitir o mostrar CAPTCHA para todas las solicitudes coincidentes.
La siguiente información proporciona las condiciones disponibles para una regla de acceso.
| Tipo de criterio | Criterios |
|---|---|
| URL |
Defina uno o más criterios en función de lo siguiente:
Para la expresión regular de la URL se utilizan expresiones regulares compatibles con Perl. La coincidencia basada en URL en las reglas de acceso es para una ubicación en el mismo dominio, por ejemplo, "/login.php". Para asignar una URL absoluta completa, puede utilizar una combinación de coincidencia de cabecera (Host: www.example.com) y URL "/login.php". |
| Dirección IP |
Defina uno o más criterios en función de lo siguiente:
Estos valores pueden ser una dirección IPv4 válida, un subconjunto o una notación CIDR para un rango. Los criterios de dirección IP se pueden utilizar para restringir el tráfico entrante específico tanto para direcciones IP como para rangos CIDR. No se admite IPv6 aún. Consulte Listas de direcciones IP para políticas de perímetro para obtener información sobre cómo crear una lista de direcciones IP que se pueden utilizar en la regla de acceso. |
| País/Región |
Defina uno o más criterios en función de lo siguiente:
Para la API, utilice un código de país de dos letras. |
| Agente de usuario |
Identifique el cliente del explorador.
|
| Cabecera HTTP |
Evaluar como criterios:
Introduzca el valor de La cabecera HTTP contiene con <name>:<value> delimitado por dos puntos. No puede utilizar comodines. |
| Método HTTP |
Evaluar como criterios:
Entre los métodos disponibles se incluyen GET, POST, PUT, DELETE, HEAD, CONNECT, OPTIONS, TRACE y PATCH. |
- Para la secuencia de procesamiento de los separadores "Reglas de acceso" frente a "Lista blanca de IP", la lista blanca de IP se dispara primero. Si la dirección IP no está en la lista de permitidos de direcciones IP, la secuencia se mueve a las reglas de acceso.
- WAF soporta los siguientes códigos de respuesta de redirección HTTP:
- 301 - Movido de forma permanente: utilice este código de respuesta si el sitio web se ha movido de forma permanente a la URL de redirección y desea que los motores de búsqueda lo indexen.
- 302 - Redirección temporal: utilice este código de respuesta si se ha cambiado una URL a una dirección diferente por un breve periodo de tiempo.
- Solo puede incluir CAPTCHA como una página completa y no como un componente en línea en el sitio web.
- Solo puede reordenar las reglas de acceso mediante la API para reordenar manualmente las reglas que se muestran.
- No puede reordenar las reglas de acceso al crear una regla de acceso con la acción BLOCK.
- La forma más sencilla de bloquear todo excepto para direcciones IP específicas es crear una única regla de acceso para bloquear si la dirección IP no está en la lista de direcciones. Esta regla bloquea todo el tráfico que no sea las direcciones IP que tenga en las listas de direcciones IP. Si tiene otras funciones de seguridad activadas, seguirán activas, incluso para las direcciones IP de la lista de direcciones. Para omitir todas las medidas de seguridad, agregue direcciones IP a la lista blanca de direcciones.