Documentation sur Oracle Cloud Infrastructure

Introduction aux politiques de pare-feu d'application Web

Commencez par créer et gérer une politique de pare-feu d'application Web.

Avant de commencer

Pour des concepts importants concernant le pare-feu d'application Web, voir Politique de service IAM requise.

Pour commencer à utiliser le service WAF, vous devez disposer des éléments suivants :

  • Assurez-vous de disposer des autorisations pour la politique GIA requise.

  • Nous vous avons recommandé d'utiliser un compartiment distinct pour votre pare-feu d'application Web afin que la gestion soit plus facile et plus sécurisée. Pour plus d'informations, voir Gestion des compartiments.

  • Un équilibreur de charge avec un module d'écoute HTTP.

Vous ne pouvez modifier votre politique de pare-feu d'application Web que si le statut de la politique est ACTIVE.

Méthodes d'accès au service de pare-feu d'application Web

Vous pouvez accéder à Oracle Cloud Infrastructure (OCI) à l'aide de la console (interface basée sur un navigateur), de l'API REST, ou de l'interface CLI OCI. Les instructions relatives à la console, à l'API et à l'interface de ligne de commande sont incluses dans les sujets de cette documentation. Pour une liste des trousses SDK disponibles, voir Trousses SDK et interface de ligne de commande.

Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Pour accéder à la page de connexion de la console, ouvrez le menu de navigation en haut de cette page et sélectionnez Console Infrastructure. Vous êtes invité à entrer votre location Oracle Cloud, votre nom d'utilisateur et votre mot de passe.

Capacités et limites du service de pare-feu d'application Web

Les capacités et les limites du service de pare-feu d'application Web (WAF) sont les suivantes :

  • Politiques de pare-feu d'application Web : 100 par locataire.

  • Listes d'adresses réseau : 100 par locataire.

    Pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite, voir Limites de service. Pour définir des limites propres à un compartiment pour une ressource ou une famille de ressources, les administrateurs peuvent utiliser des quotas de compartiment.
    Note

    Le service WAF offre une durée d'exécution totale de 10 minutes pour les processus de chargement et de téléchargement au moyen du pare-feu d'application Web.
  • La politique WAF ne prend pas en charge le service d'équilibreur de charge de réseau. La politique WAF prend uniquement en charge l'équilibreur de charge.
  • Le module d'écoute TCP n'est pas compatible avec la politique WAF. La politique WAF prend en charge uniquement les modules d'écoute HTTP.

  • La politique WAF prend en charge IPv6. La politique WAF est associée directement à l'équilibreur de charge où vous pouvez sélectionner IPv6 Support.

    Après avoir créé un équilibreur de charge et choisi son type, sélectionnez Permettre l'affectation d'adresse IPv6.

    Lorsque vous créez un équilibreur de charge, vous pouvez choisir une configuration à pile double IPv4/IPv6. Lorsque vous choisissez l'option IPv6, le service Équilibreur de charge affecte une adresse IPv4 et une adresse IPv6 à l'équilibreur de charge. L'équilibreur de charge reçoit le trafic client envoyé à l'adresse IPv6 affectée. L'équilibreur de charge utilise uniquement des adresses IPv4 pour communiquer avec les serveurs dorsaux. Il n'existe aucune communication IPv6 entre l'équilibreur de charge et les serveurs dorsaux.
    Note

    L'affectation d'adresse IPv6 se produit uniquement lors de la création de l'équilibreur de charge. Vous ne pouvez pas affecter une adresse IPv6 à un équilibreur de charge existant.
  • La politique WAF est une solution à l'échelle régionale uniquement. Une politique WAF ne peut pas être utilisée simultanément dans plusieurs régions.
  • Une seule politique peut être utilisée avec plusieurs équilibreurs de charge. Vous pouvez utiliser une politique avec plusieurs équilibreurs de charge tant que tous les équilibreurs de charge se trouvent dans la même région que la politique.
  • Les règles de politique WAF sont exécutées dans l'ordre suivant :
    1. WAF requestAccessControl
    2. WAF requestRateLimiting
    3. WAF requestProtection
      1. Règle 1 pour requestProtection
        1. Capacités de protection en mode de vérification pour l'inspection de l'en-tête
        2. Capacités de protection en mode de blocage pour l'inspection de l'en-tête
        3. Capacités de protection en mode de vérification pour l'inspection du corps
        4. Capacités de protection en mode de blocage pour l'inspection du corps
      2. Règle 2 pour requestProtection
      3. Règle N requestProtection
    4. <Une demande transmise au serveur dorsal et une réponse est reçue>
    5. responseAccessControl du service WAF
    6. responseProtection du service WAF
      1. Règle responseProtection 1
        1. Capacités de protection en mode de vérification pour l'inspection de l'en-tête
        2. Capacités de protection en mode de blocage pour l'inspection de l'en-tête
        3. Capacités de protection en mode de vérification pour l'inspection du corps
        4. Capacités de protection en mode de blocage pour l'inspection du corps
      2. Règle 2 de responseProtection
      3. Règle N responseProtection

Politique GIA requise

Pour que vous puissiez utiliser Oracle Cloud Infrastructure, vous devez disposer d'un accès dans une politique pour waas-policy. Si vous tentez d'effectuer une action et d'obtenir un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez avec votre administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.

Liste des autorisations obligatoires : 

Allow group-id to manage waas-family in compartment_ocid

Allow group-id to manage web-app-firewall in compartment_ocid

Allow group-id to manage waf-policy in compartment_ocid

Allow group-id to use waf-network-address-list in compartment_ocid

Exemples de politique :

  • Pour autoriser un groupe d'utilisateurs spécifique à gérer des pare-feu d'application Web dans votre location :
    Allow group-id to manage web-app-firewall in tenancy
  • Pour permettre à un groupe d'utilisateurs spécifique d'inspecter les politiques de pare-feu d'application Web dans un compartiment spécifique :
    Allow group-id to inspect waf-policy in compartment_ocid
  • Pour autoriser un groupe d'utilisateurs spécifique à utiliser des listes d'adresses réseau de pare-feu d'application Web dans votre location :
    Allow group-id to use waf-network-address-list in tenancy

Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes. Pour plus de détails sur les politiques relatives au service WAF, voir Détails du service WAF.

Application de marqueurs

Appliquer des marqueurs aux ressources afin de les organiser en fonction des besoins de l'entreprise. Vous pouvez appliquer des marqueurs lorsque vous créez une ressource, et vous pouvez mettre à jour une ressource plus tard pour ajouter, réviser ou supprimer des marqueurs. Pour des informations générales sur l'application de marqueurs, voir Marqueurs de ressource.