Création d'une politique de pare-feu d'application Web

1. Entrez un nom pour la politique WAF ou utilisez le nom par défaut.
2. Sélectionnez le compartiment contenant la politique WAF.
3. Sélectionnez la flèche Actions pour voir les actions à ajouter à la politique WAF. Les actions préconfigurées suivantes sont associées par défaut à la politique WAF :
   • Action de vérification préconfigurée : L'action n'arrête pas l'exécution des règles. L'action génère plutôt un message de journal qui documente le résultat de l'exécution des règles.
   • Action d'autorisation préconfigurée : Cette action, lorsqu'elle correspond à la règle, ignore toutes les autres règles du module courant.
   • Action de code de réponse 401 configurée : Retourne une réponse HTTP définie. La configuration du code de réponse (en-têtes et corps de la page de réponse) détermine la réponse HTTP retournée lors de l'exécution de cette action.
4. Pour ajouter une autre action à la politique, sélectionnez Ajouter une action, puis remplissez les options suivantes dans le panneau Ajouter des actions. Pour plus d'informations, voir Actions pour les pare-feu d'application Web.

   • Nom : Entrez le nom de l'action.

   • Type : Spécifiez le type d'action :

     • Chèque : N'arrête pas l'exécution des règles. Au lieu de cela, elle génère un message de journal documentant le résultat de la règle.

       Autoriser : Ignore toutes les règles restantes du module courant.

       Retourner une réponse HTTP : Retourne une réponse HTTP définie.

       Si vous sélectionnez ce type, fournissez les valeurs suivantes.

   • Code de réponse : Sélectionnez la réponse HTTP.

   • En-têtes : Entrez des informations facultatives sur l'en-tête :

     • Nom d'en-tête : Entrez le nom de l'en-tête.

     • Valeur d'en-tête : Entrez la valeur associée de l'en-tête.

     • Sélectionnez + Autre en-tête pour afficher une autre rangée d'en-tête où vous pouvez entrer une paire nom-valeur d'en-tête. Sélectionnez X pour supprimer la rangée d'en-tête associée.

   • Corps de la page de réponse : Fournit des détails sur une erreur, y compris la cause et des instructions supplémentaires, si nécessaire.

     Entrez le corps de la réponse HTTP, par exemple une réponse d'erreur JSON :

     {"code":"403","message":"Forbidden"}

     Vous pouvez activer la prise en charge du texte dynamique pour ajouter des variables dans le corps de la page. La variable suivante est prise en charge :

     RequestID

     L'ID demande peut vous aider à suivre et à gérer une demande en fournissant un identificateur de demande unique exposé dans les en-têtes de demande et de réponse HTTP.

     Lorsque l'ID demande est activé, le nom d'en-tête par défaut X-Request-ID est inclus dans l'en-tête de demande HTTP, depuis l'équilibreur de charge jusqu'aux réponses d'en-tête dorsale et HTTP.

     L'exemple suivant fournit un corps de réponse HTTP avec prise en charge de texte dynamique activée :

     {"code":"403","message":"Forbidden","RequestId":"${http.request.id}"}

5. Sélectionnez Ajouter une action.

6. Afficher le marquage : (Facultatif) Ajoutez un ou plusieurs marqueurs à la politique WAF.

   Si vous avez l'autorisation de créer une ressource, vous avez également l'autorisation d'appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.

7. Pour utiliser les options de politique de périphérie de réseau existantes, sélectionnez le lien de flux de travail existant au bas de la page. Pour plus d'informations, voir Politiques de périphérie de réseau.

Sélectionnez Suivant.

(Facultatif) Utilisez les options de contrôle d'accès pour définir des actions explicites pour les demandes et les réponses qui répondent à diverses conditions. Lorsque vous activez le contrôle d'accès, une liste des règles d'accès associées au contrôle de demande s'affiche. Vous pouvez ajouter, modifier, modifier ou supprimer des règles. Pour plus d'informations, voir Contrôles de demande pour une politique de pare-feu d'application Web.

1. Sélectionnez Activer le contrôle d'accès.
2. Sous Contrôle de demande, sélectionnez Ajouter une règle d'accès et fournissez les informations suivantes pour définir la règle :
   • Nom : Entrez un nom pour la règle d'accès.
   • Conditions : Spécifiez les conditions préalables qui doivent être satisfaites pour que l'action associée à la règle s'exécute. Voir Présentation des conditions.
   • Action associée à la règle : Sélectionnez une règle existante à suivre lorsque les conditions précédentes sont satisfaites ou sélectionnez Créer une nouvelle action pour en ajouter une. Pour une description des règles préconfigurées et des instructions d'ajout de règles, reportez-vous à la section précédente, "Configurer les informations de base".
3. Sélectionnez Ajouter une règle d'accès.
4. Sous Action par défaut, dans la liste Nom de l'action, sélectionnez l'action à effectuer lorsque les demandes ne correspondent à aucun des groupes de règles définis pour la politique.
5. Sélectionnez Show response control options (Afficher les options de contrôle des réponses) pour afficher la section Response control (Contrôle des réponses) et la liste Access rules (Règles d'accès). La liste contient les règles d'accès associées au contrôle de réponse. Ajouter et gérer des règles d'accès et des actions pour les contrôles de réponse en même temps que pour les contrôles de demande. Pour plus d'informations, voir Contrôle de réponse pour une politique de pare-feu d'application Web.

Sélectionnez Suivant.

1. Sélectionnez Activer l'option pour configurer les règles de limitation de débit.
2. Sous Règles de limitation de débit, sélectionnez Ajouter une règle de limitation de débit, puis remplissez les options comme suit :

   • Nom : Entrez un nom pour la règle de limitation de débit.

   • Conditions : Spécifiez les conditions préalables qui doivent être satisfaites pour que l'action associée à la règle s'exécute. Voir Présentation des conditions.

   • Configuration de la limitation de débit : Configurez le nombre maximal de demandes pouvant être effectuées à partir d'une adresse IP unique, ainsi que la durée de la demande. Les options sont les suivantes :
     • Limite des demandes : Entrez le nombre maximal de demandes pouvant être effectuées pour une adresse IP unique pendant la durée indiquée dans la zone Période en secondes.
     • Période en secondes : Entrez le nombre de secondes en fonction duquel le nombre maximal de demandes peuvent être effectuées à partir de chaque adresse IP unique, comme spécifié dans la zone Nombre maximal de demandes.
     • Durée de l'action en secondes : Entrez la durée en secondes d'application de l'action lorsque la limite de demande est atteinte.
   • Action associée à la règle : Sélectionnez une règle existante à suivre lorsque les conditions précédentes sont satisfaites ou sélectionnez Créer une nouvelle action pour en ajouter une. Pour une description des règles préconfigurées et des instructions pour l'ajout de règles, voir la section précédente sur les informations de base.

     Pour plus d'informations, voir Actions pour les pare-feu d'application Web.

Sélectionnez Suivant.

(Facultatif) Utilisez ces options pour appliquer les capacités de protection des demandes gérées par Oracle afin d'attraper le trafic malveillant. Appliquez les règles de protection s'il y a lieu. Pour plus d'informations, voir Protections pour un pare-feu d'application Web.

1. Sélectionnez Activer pour configurer les règles de protection.
2. Sous Règles de protection de demande, sélectionnez Ajouter une règle de protection de demande, puis remplissez les options comme suit :

   • Nom : Entrez un nom pour la règle de protection.

   • Conditions : Spécifiez les conditions préalables qui doivent être satisfaites pour que l'action associée à la règle s'exécute. Voir Présentation des conditions.
   • Action associée à la règle : Sélectionnez une règle existante à suivre lorsque les conditions précédentes sont satisfaites ou Créer une nouvelle action pour en ajouter une. Pour une description des règles préconfigurées et des instructions d'ajout de règles, reportez-vous à la section précédente, "Configurer les informations de base".

   • Inspection du corps : Sélectionnez Activer l'inspection du corps pour permettre au corps de la demande HTTP de subir une inspection afin de s'assurer que son contenu est conforme à toutes les capacités de protection spécifiées dans la règle de protection. Pour plus d'informations, voir Inspection du corps d'une demande HTTP.

   • Capacités de protection : Liste les capacités de protection affectées à la règle de protection. Sélectionnez Sélectionner les capacités de protection pour ouvrir la boîte de dialogue Sélectionner les capacités de protection. Parcourez les capacités de protection disponibles et affectez-en une ou plusieurs à la règle de protection.

     Vous pouvez filtrer les capacités et sélectionner la flèche vers le bas à l'extrémité droite de chaque capacité pour voir l'historique de ses versions. Sélectionnez les capacités de protection à ajouter à la règle de protection, puis sélectionnez Sélectionner les capacités de protection.

     Pour plus d'informations, voir Protections pour un pare-feu d'application Web.

   • Actions : Vous pouvez appliquer d'autres actions à une ou plusieurs capacités de protection sélectionnées. Sélectionnez les capacités de protection à affecter, puis sélectionnez l'une des commandes suivantes dans le menu Actions :
     • Voir et modifier les paramètres de capacité de protection : Ouvre la boîte de dialogue Voir et modifier les paramètres de capacité de protection dans laquelle vous pouvez modifier les paramètres de capacité de protection.
       Note
       
       Ce paramètre est global. Les paramètres que vous configurez dans cette boîte de dialogue s'appliquent à toutes les capacités de protection associées à la règle de protection, qu'elles soient sélectionnées ou non dans la liste des capacités de protection.
     • Modifier l'action : ouvre la boîte de dialogue Modifier l'action, dans laquelle vous pouvez mettre à jour l'action effectuée par les capacités de protection lorsqu'elles sont déclenchées.
     • Supprimer : Supprime les capacités de protection de la règle de protection.
3. Sélectionnez Ajouter une règle de protection de demande.
4. Sélectionnez Afficher les règles de protection de réponse pour afficher une liste de règles de protection de réponse.
   • Pour supprimer une règle, sélectionnez-la, puis sélectionnez Supprimer.
   • Pour ajouter une règle, sélectionnez Ajouter une règle de protection de réponse.
   • Ajoutez et gérez des règles d'accès et des actions pour les protections de réponse comme pour les protections de demande décrites précédemment dans cette section.
5. Sélectionnez une ou plusieurs règles de protection de demande, puis sélectionnez le menu Actions pour appliquer une action à toutes les règles sélectionnées. Vous pouvez sélectionner l'une des options suivantes :
   • Voir et modifier les paramètres des règles : Ouvre la boîte de dialogue Voir et modifier les paramètres des règles. Vous pouvez appliquer les paramètres suivants à toutes les règles de protection de demande pour lesquelles l'inspection du corps HTTP est activée :
     • Nombre maximal d' octets autorisé : Spécifiez le nombre d' octets dans chaque corps de message HTTP qui subit une inspection. Les valeurs vont de 0 à 8192.
     • Action effectuée si la limite a été dépassée : Sélectionnez dans la liste l'action qui est effectuée si la taille du corps du message dépasse le nombre maximal d'octets autorisé spécifié.

   • Activer l'inspection du corps des messages : Active l'inspection du corps des messages HTTP.

   • Désactiver l'inspection du corps : Désactive l'inspection du corps du message HTTP.

   • Supprimer : Supprime les règles de protection de demande sélectionnées de la politique.

Sélectionnez Suivant.

Utilisez ces options pour mettre en oeuvre la sécurité du pare-feu d'application Web sur l'équilibreur de charge. Pour plus d'informations, voir Pare-feu pour les politiques de pare-feu d'application Web.

Sous Ajouter des pare-feu, sélectionnez un équilibreur de charge contenu dans le compartiment courant. Sélectionnez Modifier le compartiment pour sélectionner des équilibreurs de charge contenus dans un autre compartiment.

La sécurité du pare-feu est appliquée à l'équilibreur de charge que vous sélectionnez.

Sélectionnez Suivant.

Vérifiez les paramètres de la politique WAF avant de terminer le processus de création. Chaque section correspond aux options qui ont été définies pour la politique.

1. Vérifiez que chaque section est correcte et terminée. Sélectionnez Modifier dans les sections que vous souhaitez modifier.

2. Sélectionnez Créer une politique WAF.