Documentation sur Oracle Cloud Infrastructure

Règles de protection WAF

Les règles de protection mettent en correspondance le trafic Web avec les conditions de règle et déterminent l'action à entreprendre lorsque les conditions sont satisfaites. Les paramètres des règles de protection vous permettent de définir les paramètres à appliquer chaque fois qu'une correspondance est trouvée pour une règle de protection. Les recommandations vous aident à optimiser votre profil de sécurité WAF. L'équipe du centre des opérations de sécurité surveille de manière proactive tous les événements pour fournir des recommandations concernant l'action associée à un jeu de règles spécifique. Voir Règles de protection prises en charge pour des informations supplémentaires.

La politique de périphérie de réseau a environ 680 règles. En raison de l'échéance de la politique de périphérie de réseau, plusieurs versions du jeu de règles de base (CRS) sont incluses.
Note

En plus de créer de nouvelles règles, nous mettons à jour et optimisons continuellement les règles existantes. En raison de problèmes de vulnérabilité, nous ne pouvons pas fournir le modèle d'atténuation pour les règles.

Les politiques WAF sont tenues à jour grâce à la publication trimestrielle de définitions nouvelles et mises à jour par les services CRS et les vulnérabilités CVE. Les définitions de règle en cours d'utilisation ne sont pas mises à jour, car cela pourrait entraîner un comportement imprévu. La poussée des nouvelles définitions est toujours effectuée alors que le système est hors tension.

Vous pouvez activer un maximum de 100 règles par politique WAF.

Pour plus d'informations, voir Règles de protection prises en charge.

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Consultation et acceptation des recommandations de règle de protection

Pour obtenir la liste des règles et paramètres de protection, utilisez les opérations suivantes :
{
   "name": "SQL authentication bypass attempts",
   "action": "OFF",
   "description": "Detects basic SQL authentication bypass attempts.",
   "exclusions": [],
   "key": "981244",
   "tags": "SQL Injections, Recommended"
   },

   {

   "modSecurityRuleIds": [
      "950001",
      "959070",
      "959071",
      "959072",
      "950908",
      "959073"
				],

   "name": "Common SQL Injections",
   "action": "OFF",
   "description": "detects common SQL injection attacks",
   "exclusions": [],
   "key": "950001",
   "tags": "SQL Injections, WASCTC, OWASP, A1, PCI, Recommended"

   },
À l'aide des valeurs clés de la sortie de l'appel GET ci-dessus, vous pouvez accepter une ou plusieurs des recommandations en utilisant l'opération suivante transmettant un tableau des clés : Corps :
[
   "981244",
   "950001"
]

Paramètres spécifiques des règles de protection

Plusieurs paramètres de règle de protection sont des paramètres pour des règles de protection spécifiques.

Paramètre ID règle Nom de la règle
Méthodes HTTP autorisées 911100 Restriction des méthodes de demande HTTP
Longueur maximale totale des arguments 960341 Limites du nombre total d'arguments
Nombre maximal d'arguments 960335 Limites de nombre d'arguments
Longueur maximale de l'argument 960208 Limites de valeurs

Le terme "Arguments" fait référence à des paramètres d'interrogation ou à des paramètres de corps dans une demande PUT/POST. Par exemple, si le nombre maximal d'arguments est 2 et si RuleID 960335 est réglé à BLOCK, n'importe laquelle des demandes suivantes sera bloquée :

GET /myapp/path?query=one&query=two&query=three
POST /myapp/path with Body {"arg1":"one","arg2":"two","arg3":"three"}
POST /myapp/path?query=one&query=two with Body {"arg1":"one"}

La longueur maximale de l'argument est la longueur d'un nom ou d'une valeur de l'argument. La longueur maximale du nombre total d'arguments représente la somme de la longueur du nom et de la valeur.

Exclusions

Configurez une exception dans le service de pare-feu d'application Web.

Parfois une règle de protection peut déclencher un faux positif. Vous pouvez configurer une exception si les demandes générant des faux positifs ont un argument ou un témoin particulier qui peut être utilisé pour identifier cette demande à exclure de l'action normalement effectuée sur la règle. Les paramètres d'exclusion suivants peuvent être utilisés :

Paramètres d'exclusion

Nom

Description

Paramètres de demande

Liste des valeurs de paramètre (par nom de paramètre) des données utiles form-urlencoded, XML, JSON, AMP ou POST à exclure de l'inspection.

Témoins de demande

Liste des valeurs de témoin de demande HTTP (par nom de témoin) à exclure de l'inspection.