Reglas de protección de WAF
Las reglas de protección vinculan el tráfico web con las condiciones de las reglas y determinan la acción que debe emprenderse en caso de que se cumplan las condiciones. Configuración de regla de protección le permite definir los parámetros para la aplicación siempre que se coincida con los criterios para una regla de protección. Las recomendaciones ayudan en la optimización del perfil de seguridad de WAF. El equipo de operaciones de seguridad controla de forma proactiva todos los eventos para proporcionar recomendaciones sobre la acción de un conjunto de reglas específico. Consulte Reglas de protección admitidas para obtener más información.
La política de borde tiene aproximadamente 680 reglas. Debido al vencimiento de la política de perímetro, se incluyen varias versiones del juego de reglas principal (CRS).Actualizamos y optimizamos continuamente las reglas existentes, además de crear reglas. Debido a problemas de vulnerabilidad, no podemos proporcionar el patrón de mitigación para las reglas.
Las políticas de WAF se mantienen actualizadas con la publicación de definiciones nuevas y actualizadas trimestralmente de CRS y CVE. Las definiciones de reglas en uso no se actualizan porque pueden causar un comportamiento inesperado. Las nuevas definiciones siempre se encuentran en estado desactivado.
Puede activar un máximo de 100 reglas por política de WAF.
Para obtener más información, consulte Reglas de protección soportadas.
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Enumeración y aceptación de recomendaciones de reglas de protección
{
"name": "SQL authentication bypass attempts",
"action": "OFF",
"description": "Detects basic SQL authentication bypass attempts.",
"exclusions": [],
"key": "981244",
"tags": "SQL Injections, Recommended"
},
{
"modSecurityRuleIds": [
"950001",
"959070",
"959071",
"959072",
"950908",
"959073"
],
"name": "Common SQL Injections",
"action": "OFF",
"description": "detects common SQL injection attacks",
"exclusions": [],
"key": "950001",
"tags": "SQL Injections, WASCTC, OWASP, A1, PCI, Recommended"
},
[
"981244",
"950001"
]
Parámetros específicos de regla de protección
Hay varios parámetros específicos para las reglas de protección.
Parámetro | ID de regla | Nombre de regla |
---|---|---|
Métodos HTTP permitidos | 911100 | Restrict HTTP Request Methods |
Longitud de argumento máxima total | 960341 | Total Arguments Limits |
Número máximo de argumentos | 960335 | Number of Arguments Limits |
Longitud máxima de argumento | 960208 | Values Limits |
El término" Argumentos" hace referencia a parámetros de consulta o parámetros de cuerpo en una solicitud PUT/POST. Por ejemplo, si el número máximo de argumentos es 2 y RuleID 960335 se define en BLOCK, se bloqueará cualquiera de las siguientes solicitudes:
GET /myapp/path?query=one&query=two&query=three
POST /myapp/path with Body {"arg1":"one","arg2":"two","arg3":"three"}
POST /myapp/path?query=one&query=two with Body {"arg1":"one"}
La Longitud máxima de argumento es la longitud de un nombre o del valor del argumento. La Longitud total de argumento hace referencia a la suma de la longitud del nombre y del valor.
Exclusiones
Configure una excepción en el servicio de firewall de aplicación web.
A veces, una regla de protección puede disparar un falso positivo. Puede configurar una excepción si las solicitudes que generan el falso positivo tienen un argumento o cookie particular que se pueden utilizar para identificar la solicitud para excluirla de la acción que se suele realizar en la regla. Se pueden utilizar los siguientes parámetros de exclusión:
Nombre |
Descripción |
---|---|
Parámetros de solicitud |
Lista de valores de parámetros (por nombre de parámetro) de cargas útiles form-urlencoded, XML, JSON, AMP o POST que se excluirán de la inspección. |
Cookies de solicitud |
Lista de valores de cookie de solicitud HTTP (por nombre de cookie) que se excluirán de la inspección. |