Documentation sur Oracle Cloud Infrastructure

Aperçu du pare-feu d'application Web

Découvrez Oracle Cloud Infrastructure Oracle Cloud Infrastructure Web Application Firewall, un service d'application régional et en périphérie de réseau attaché à un point d'application, tel qu'un équilibreur de charge ou un nom de domaine d'application Web.

Le service WAF protège les applications contre le trafic Internet malveillant ou indésirable. Le service WAF peut protéger tout point d'extrémité accessible sur Internet en appliquant uniformément des règles aux applications d'un client.

Note

Pour utiliser le service WAF pour l'application en périphérie de réseau, voir Politiques de périphérie de réseau.

Le service WAF vous permet de créer et de gérer des règles pour parer les menaces Internet, notamment les attaques par script intersites (XSS), l'injection de code SQL et d'autres vulnérabilités définies par OWASP. Les règles d'accès permettent de réduire l'accès en fonction de la zone géographique ou de la signature de la demande.

La politique WAF est une solution à l'échelle régionale qui fonctionne comme un plugiciel pour votre équilibreur de charge.

La politique de périphérie de réseau est une solution à l'échelle mondiale. Pour utiliser cette solution, placez sur liste d'autorisation les noeuds Oracle partout dans le monde et utilisez DNS pour faire pointer votre application vers le CNAME que nous fournissons.

Vous pouvez convertir une politique de périphérie de réseau en politique WAF et inversement, en recréant manuellement les paramètres et la politique. Il n'existe pas de méthode ou d'outil automatisé pour cette conversion.

Concepts WAF

Cette section décrit les concepts associés à un pare-feu d'application Web (WAF).

Contrôle d'accès
Le contrôle d'accès comprend les contrôles de demande et de réponse.
Action

Les actions sont des objets qui représentent l'un des éléments suivants :

  • Autoriser : Action qui, lorsqu'elle correspond à une règle, ignore toutes les autres règles du module courant.
  • Vérifier : Action qui n'arrête pas l'exécution des règles dans le module courant. Au lieu de cela, elle génère un message de journal documentant le résultat de l'exécution de la règle.
  • Retourner une réponse HTTP : Action qui retourne une réponse HTTP définie.
Condition
Chaque règle accepte une expression JMESPath comme condition. Les demandes HTTP ou les réponses HTTP (selon le type de règle) déclenchent des règles WAF.
Pare-feu
La ressource de pare-feu est un lien logique entre une politique WAF et un point d'application, tel qu'un équilibreur de charge.
Liste d'adresses réseau
Les listes d'adresses réseau sont des collections d'adresses IP publiques individuelles et d'intervalles d'adresses IP CIDR ou d'adresses IP privées utilisées par les politiques WAF.
Origine
Serveur hôte d'origine de votre application Web.
Règle de protection
Les règles de protection sont des jeux de capacités de protection qui permettent de déterminer si le trafic doit être journalisé, autorisé ou bloqué. Le service WAF observera le trafic vers votre application Web. Pour voir la liste des règles WAF disponibles, voir Capacités de protection.
Limitation de débit
La limitation de débit permet d'inspecter les propriétés des connexions HTTP et de limiter la fréquence des demandes pour une clé particulière.
Contrôle des demandes
Le contrôle des demandes permet d'inspecter les propriétés de demande HTTP et de retourner une réponse HTTP définie.
Règles de protection de demande
Les règles de protection de demande permettent de vérifier l'absence de contenu malveillant dans les demandes HTTP et de retourner une réponse HTTP définie.
Contrôle des réponses
Le contrôle des réponses permet d'inspecter les propriétés de réponse HTTP et de retourner une réponse HTTP définie.
Pare-feu d'application Web (WAF)

Le service de pare-feu d'application Web (WAF) est un service de sécurité globale, conforme à PCI (Payment Card Industry), qui protège les applications du trafic Internet malveillant et indésirable.

Authentification et autorisation

Chaque service d'Oracle Cloud Infrastructure est intégré avec le service de gestion des identités et des accès GIA aux fins d'authentification et d'autorisation, pour toutes les interfaces (console, trousse SDK ou interface de ligne de commande et API REST).

Un administrateur de votre organisation doit configurer les groupes , les compartiments  et les politiques  qui déterminent les utilisateurs pouvant accéder aux services et aux ressources, ainsi que le type d'accès. Ces politiques contrôlent notamment qui peut créer des utilisateurs, créer et gérer le réseau en nuage, lancer des instances, créer des seaux et télécharger des objets. Pour plus d'informations, voir Introduction aux politiques. Pour des détails précis sur l'écriture de politiques pour les différents services, voir Informations de référence sur les politiques.

Si vous êtes un simple utilisateur (pas un administrateur) qui doit utiliser les ressources Oracle Cloud Infrastructure de votre société, demandez à l'administrateur de configurer un ID utilisateur pour vous. L'administrateur vous indiquera les compartiments que vous devez utiliser.

Automatisation au moyen d'événements

Vous pouvez créer une automatisation en fonction des modifications d'état des ressources Oracle Cloud Infrastructure en utilisant des types d'événement, des règles et des actions. Pour plus d'informations, voir Aperçu des événements.

Application de marqueurs

Appliquer des marqueurs aux ressources afin de les organiser en fonction des besoins de l'entreprise. Vous pouvez appliquer des marqueurs lorsque vous créez une ressource, et vous pouvez mettre à jour une ressource plus tard pour ajouter, réviser ou supprimer des marqueurs. Pour des informations générales sur l'application de marqueurs, voir Marqueurs de ressource.

Sécurité

Cette rubrique décrit la sécurité relative au service WAF.

Pour plus d'informations sur la sécurisation du service WAF, notamment les informations et les recommandations de sécurité, voir Sécurisation du pare-feu d'application Web.