Règles d'accès pour les politiques de périphérie de réseau
Utilisez le pare-feu d'application Web pour gérer les règles d'accès dans une politique de périphérie de réseau.
En tant qu'administrateur WAF, vous pouvez définir des actions explicites pour les demandes qui satisfont diverses conditions. Les conditions utilisent plusieurs opérations et expressions rationnelles. Une action de règle peut être définie pour journaliser et permettre, détecter, bloquer, rediriger, ignorer ou afficher un CAPTCHA pour toutes les demandes correspondantes.
Les informations suivantes fournissent les conditions disponibles pour une règle d'accès.
| Type de critère | Critère |
|---|---|
| URL |
Définir un ou plusieurs critères basés sur :
La recherche de correspondance d'URL utilise des expressions régulières compatibles avec Perl. La correspondance basée sur l'URL dans les règles d'accès porte sur un emplacement dans un même domaine, par exemple "/login.php". Pour cibler une URL absolue complète, vous pouvez utiliser une combinaison de correspondance d'en-tête (Host : www.example.com) et d'URL "/login.php". |
| Adresse IP |
Définir un ou plusieurs critères basés sur :
Ces valeurs peuvent être une adresse IPv4, un sous-ensemble ou un bloc CIDR valide pour un intervalle. Les critères d'adresse IP peuvent être utilisés pour restreindre le trafic entrant propre aux adresses IP et aux intervalles CIDR. IPv6 n'est pas encore pris en charge. Voir Listes d'adresses IP pour les politiques de périphérie de réseau pour plus d'informations sur la façon de créer une liste d'adresses IP pouvant être utilisées dans la règle d'accès. |
| Pays/région |
Définir un ou plusieurs critères basés sur :
Pour l'API, utilisez un code de pays composé de 2 lettres. |
| Agent utilisateur |
Identifier le client du navigateur.
|
| En-tête HTTP |
Évaluer en tant que critère :
Entrer la valeur du critère "L'en-tête HTTP contient" sous la forme <nom>:<valeur>. Vous ne pouvez pas utiliser de caractères génériques. |
| Méthode HTTP |
Évaluer en tant que critère :
Les méthodes disponibles sont GET, POST, PUT, DELETE, HEAD, CONNECT, OPTIONS, TRACE et PATCH. |
- Pour la séquence de traitement des onglets " Règles d'accès " et " Liste d'autorisation d'adresses IP ", la liste d'autorisation d'adresses IP est déclenchée en premier. Si l'adresse IP ne figure pas dans la liste d'autorisation des adresses IP, la séquence passe aux règles d'accès.
- Le service WAF prend en charge les codes de réponse de redirection HTTP suivants :
- 301 - Définitivement déplacé : Utilisez ce code de réponse si votre site Web a été déplacé définitivement vers l'URL de redirection et pour que les moteurs de recherche l'indexent.
- 302 - Redirection temporaire : Utilisez ce code de réponse si une URL précise a été modifiée en une autre adresse pour une courte période.
- Vous ne pouvez inclure CAPTCHA qu'en tant que page complète et non en tant que composant inséré dans le site Web.
- Vous ne pouvez réordonner les règles d'accès qu'à l'aide de l'API pour réordonner manuellement les règles répertoriées.
- Vous ne pouvez pas réordonner les règles d'accès lorsque vous créez une règle d'accès avec l'action BLOC.
- La façon la plus simple de tout bloquer, à l'exception des adresses IP spécifiques, consiste à créer une règle d'accès unique à BLOCK si "l'adresse IP n'est pas dans la liste d'adresses". Cette règle bloque tout le trafic sauf les adresses IP figurant dans vos listes d'adresses IP. Si d'autres fonctions de sécurité sont activées, elles restent actives, même pour les adresses IP figurant dans la liste d'adresses. Pour ignorer toutes les mesures de sécurité, ajoutez des adresses IP à la liste d'autorisation d'adresses IP.