Création d'une stratégie Web Application Firewall
Créez une stratégie de pare-feu d'application Web (WAF) qui inclut des règles d'accès, de limitation de débit et de protection.
Sur la page de liste Stratégies, sélectionnez Créer une stratégie WAF. Si vous avez besoin d'aide pour rechercher la page de liste ou la stratégie, reportez-vous à Liste des stratégies Web Application Firewall.
1. Informations de base
- Entrez le nom de la stratégie WAF ou utilisez le nom par défaut.
- Sélectionnez le compartiment devant contenir la stratégie WAF.
- Sélectionnez la flèche Actions pour afficher les actions à ajouter à la stratégie WAF. Les actions préconfigurées suivantes sont associées à la stratégie WAF par défaut :
- Action de vérification préconfigurée : l'action n'arrête pas l'exécution des règles. A la place, elle génère un message de journal qui documente le résultat de l'exécution des règles.
- Action d'autorisation préconfigurée : l'action, en cas de correspondance avec la règle, ignore les règles restantes dans le module en cours.
- Action de code de réponse 401 configurée : renvoie une réponse HTTP définie. La configuration du code de réponse (en-têtes et corps de page de réponse) détermine la réponse HTTP renvoyée lors de l'exécution de l'action.
- Pour ajouter une autre action à la stratégie, sélectionnez Ajouter une action, puis renseignez les options suivantes dans le panneau Ajouter des actions. Pour plus d'informations, reportez-vous à Actions pour les pare-feu d'applications Web.
-
Nom : Entrez le nom de l'action.
-
Type : indiquez le type d'action :
-
Vérifier : n'arrête pas l'exécution des règles. Génère à la place un message de journal documentant le résultat de la règle.
Autoriser : ignore toutes les règles restantes du module en cours.
Renvoyer la réponse HTTP : renvoie une réponse HTTP définie.
Si vous sélectionnez ce type, indiquez les valeurs suivantes.
-
-
Code de réponse : sélectionnez la réponse HTTP.
- En-têtes : entrez des informations d'en-tête facultatives :
-
Nom d'en-tête : saisissez le nom de l'en-tête.
-
Valeur d'en-tête : saisissez la valeur associée de l'en-tête.
-
Sélectionnez + Autre en-tête pour afficher une autre ligne d'en-tête dans laquelle entrer une paire nom-valeur d'en-tête. Sélectionnez X pour supprimer la ligne d'en-tête associée.
-
Corps de la page de réponse : fournit des détails sur une erreur, y compris sa cause et des instructions supplémentaires, si nécessaire.
Entrez le corps de réponse HTTP, par exemple une réponse d'erreur JSON :{"code":"403","message":"Forbidden"}
Vous pouvez activer la prise en charge du texte dynamique pour ajouter des variables dans le corps de la page. La variable suivante est prise en charge :
RequestID
L'ID de demande peut vous aider à suivre et à gérer une demande en fournissant un identificateur de demande unique exposé dans les en-têtes de demande et de réponse HTTP.
Lorsque l'ID de demande est activé, le nom d'en-tête par défaut X-Request-ID est inclus dans l'en-tête de demande HTTP, de l'équilibreur de charge aux réponses d'en-tête HTTP et de back-end.
L'exemple suivant fournit un corps de réponse HTTP avec prise en charge du texte dynamique activée :
{"code":"403","message":"Forbidden","RequestId":"${http.request.id}"}
-
-
Sélectionnez Ajouter une action.
-
Afficher le balisage : (facultatif) ajoutez des balises à la stratégie WAF.
Si vous disposez des droits d'accès nécessaires pour créer une ressource, vous pouvez également lui appliquer des balises à forme libre. Pour appliquer une balise defined, vous devez être autorisé à utiliser la balise namespace. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas sûr d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
-
Pour utiliser les options de stratégie en périphérie héritées, sélectionnez le lien de workflow hérité en bas de la page. Pour plus d'informations, reportez-vous à Stratégies en périphérie.
Sélectionnez Suivant.
2. Contrôle d'accès
(Facultatif) Utilisez les options Contrôle d'accès pour définir des actions explicites pour les demandes et les réponses qui remplissent diverses conditions. Lorsque vous activez le contrôle d'accès, une liste des règles d'accès associées au contrôle de demande s'affiche. Vous pouvez ajouter, modifier, modifier ou supprimer des règles. Pour plus d'informations, reportez-vous à Contrôles des demandes pour une stratégie Web Application Firewall.
- Sélectionnez Activer le contrôle d'accès.
- Sous Contrôle des demandes, sélectionnez Ajouter une règle d'accès et fournissez les informations suivantes pour définir la règle :
- Nom : saisissez le nom de la règle d'accès.
- Conditions : indiquez les conditions de prérequis à remplir pour que l'action de règle soit exécutée. Reportez-vous à Présentation des conditions.
- Action associée à la règle : sélectionnez une règle existante à suivre lorsque les conditions précédentes sont remplies ou cliquez sur Créer une action pour en ajouter une. Pour obtenir une description des règles préconfigurées et des instructions d'ajout de règles, reportez-vous à la section précédente, Configuration des informations de base.
- Sélectionnez Ajouter une règle d'accès.
- Sous Action par défaut, dans la liste Nom d'action, sélectionnez l'action à suivre lorsque les demandes ne correspondent à aucun groupe de règles défini pour la stratégie.
- Sélectionnez Afficher les options de contrôle des réponses pour afficher la section Contrôle des réponses et la liste Règles d'accès. La liste contient les règles d'accès associées au contrôle de réponse. Ajouter et gérer des règles d'accès et des actions pour les contrôles de réponse, de même que pour les contrôles de demande. Pour plus d'informations, reportez-vous à Contrôle des réponses pour une stratégie Web Application Firewall.
Sélectionnez Suivant.
3. Limitation de débit
- Sélectionnez Activer pour configurer les règles de limitation de débit.
- Sous Règles de limitation de débit, sélectionnez Ajouter une règle de limitation de débit, puis renseignez les options comme suit :
-
Nom : saisissez le nom de la règle de limite de débit.
-
Conditions : indiquez les conditions de prérequis à remplir pour que l'action de règle soit exécutée. Reportez-vous à Présentation des conditions.
- Configuration de limitation de débit : configurez le nombre maximal de demandes pouvant être effectuées à partir d'une adresse IP unique et leur durée. Les options sont les suivantes :
- Limite des demandes : entrez le nombre maximal de demandes qu'une adresse IP unique peut effectuer au cours de la valeur de durée allouée dans la zone Period in seconds.
- Période en secondes : entrez le nombre de secondes pendant lesquelles le nombre maximal de demandes peut être effectué à partir de chaque adresse IP unique, comme indiqué dans la zone Limite des demandes.
- Durée de l'action en secondes : entrez la durée en secondes d'application de l'action lorsque la limite des demandes est atteinte.
- Action associée à la règle : sélectionnez une règle existante à suivre lorsque les conditions précédentes sont remplies ou cliquez sur Créer une action pour en ajouter une. Pour obtenir une description des règles préconfigurées et des instructions d'ajout de règles, reportez-vous à la section précédente sur les informations de base.
Pour plus d'informations, reportez-vous à Actions pour les pare-feu d'applications Web.
-
Sélectionnez Suivant.
4. Protections
(Facultatif) Utilisez ces options pour appliquer les fonctionnalités de protection des demandes gérées par Oracle afin d'intercepter le trafic malveillant. Appliquez les règles de protection nécessaires. Pour plus d'informations, reportez-vous à Protections pour Web Application Firewall.
- Sélectionnez Activer pour configurer les règles de protection.
- Sous Règles de protection de demande, sélectionnez Ajouter une règle de protection de demande, puis renseignez les options comme suit :
-
Nom : saisissez le nom de la règle de protection.
- Conditions : indiquez les conditions de prérequis à remplir pour que l'action de règle soit exécutée. Reportez-vous à Présentation des conditions.
- Action associée à la règle : sélectionnez une règle existante à suivre lorsque les conditions précédentes sont remplies ou cliquez sur Créer une action pour en ajouter une. Pour obtenir une description des règles préconfigurées et des instructions d'ajout de règles, reportez-vous à la section précédente, "Configuration des informations de base".
-
inspection du corps : sélectionnez Activer l'inspection du corps pour que le corps de demande HTTP fasse l'objet d'une inspection visant à garantir que son contenu est conforme à toutes les fonctionnalités de protection indiquées dans la règle de protection. Pour plus d'informations, reportez-vous à inspection du corps de demande HTTP.
- Capacités de protection : répertorie les capacités de protection affectées à la règle de protection. Sélectionnez Sélectionner des fonctionnalités de protection pour ouvrir la boîte de dialogue Sélectionner des fonctionnalités de protection. Parcourez les fonctionnalités de protection disponibles et affectez-en à la règle de protection.
Vous pouvez filtrer les fonctionnalités et sélectionner la flèche "bas" à l'extrémité droite de chaque fonctionnalité pour afficher son historique de versions. Sélectionnez les fonctionnalités de protection à ajouter à la règle de protection, puis sélectionnez Choisir des fonctionnalités de protection.
Pour plus d'informations, reportez-vous à Protections pour Web Application Firewall.
- Actions : vous pouvez appliquer d'autres actions aux fonctionnalités de protection sélectionnées. Sélectionnez les fonctionnalités de protection que vous souhaitez affecter, puis sélectionnez l'une des commandes suivantes dans le menu Actions :
- Visualiser et modifier les paramètres de fonctionnalité de protection : ouvre la boîte de dialogue Visualiser et modifier les paramètres de fonctionnalité de protection dans laquelle vous pouvez modifier les paramètres de fonctionnalité de protection.Remarque
Ce paramètre est global. Les paramètres que vous configurez dans cette boîte de dialogue s'appliquent à toutes les fonctionnalités de protection associées à la règle de protection, qu'elles soient sélectionnées ou non dans la liste des fonctionnalités de protection. - Action de modification : ouvre la boîte de dialogue Action de modification dans laquelle vous pouvez mettre à jour l'action effectuée par les fonctionnalités de protection lorsqu'elles sont déclenchées.
- Supprimer : enlève les fonctionnalités de protection de la règle de protection.
- Visualiser et modifier les paramètres de fonctionnalité de protection : ouvre la boîte de dialogue Visualiser et modifier les paramètres de fonctionnalité de protection dans laquelle vous pouvez modifier les paramètres de fonctionnalité de protection.
-
- Sélectionnez Ajouter une règle de protection de demande.
- Sélectionnez Afficher les règles de protection de réponse pour afficher la liste des règles de protection de réponse.
- Pour enlever une règle, sélectionnez-la, puis Supprimer.
- Pour ajouter une règle, sélectionnez Ajouter une règle de protection de réponse.
- Ajoutez et gérez des règles d'accès et des actions pour les protections de réponse. Procédez de même que pour les protections de demande décrites précédemment dans cette section.
- Sélectionnez des règles de protection de demande, puis sélectionnez le menu Actions pour appliquer une action à toutes les règles sélectionnées. Vous pouvez sélectionner l'une des options suivantes :
- Visualiser et modifier les paramètres des règles : ouvre la boîte de dialogue Visualiser et modifier les paramètres des règles. Vous pouvez appliquer les paramètres suivants à toute règle de protection de demande pour laquelle l'inspection de corps HTTP est activée :
- Nombre maximal d'octets autorisés : indiquez le nombre d'octets dans chaque corps de message HTTP soumis à l'inspection. La valeur est comprise entre 0 et 8192.
- Action exécutée en cas de dépassement de la limite : sélectionnez dans la liste l'action qui se produit si la taille du corps de message dépasse le nombre maximal d'octets autorisés indiqué.
-
Activer l'inspection du corps : active l'inspection du corps de message HTTP.
-
Disable body inspection : désactive l'inspection du corps de message HTTP.
-
Supprimer : enlève les règles de protection de demande sélectionnées de la stratégie.
- Visualiser et modifier les paramètres des règles : ouvre la boîte de dialogue Visualiser et modifier les paramètres des règles. Vous pouvez appliquer les paramètres suivants à toute règle de protection de demande pour laquelle l'inspection de corps HTTP est activée :
Sélectionnez Suivant.
5. Sélectionner un point d'application
Utilisez ces options pour appliquer la sécurité du pare-feu d'application Web à l'équilibreur de charge. Pour plus d'informations, reportez-vous à Pare-feu pour les stratégies Web Application Firewall.
Sous Ajouter des pare-feu, sélectionnez un équilibreur de charge contenu dans le compartiment en cours. Sélectionnez Modifier le compartiment pour sélectionner des équilibreurs de charge dans un autre compartiment.
La sécurité de pare-feu est appliquée à l'équilibreur de charge sélectionné.
Sélectionnez Suivant.
6. Vérifier et créer
Vérifiez les paramètres de stratégie WAF avant de terminer le processus de création. Chaque section correspond aux options qui ont été configurées pour la stratégie.
-
Vérifiez que chaque section est exacte et complète. Sélectionnez Modifier dans toute section à modifier.
-
Sélectionnez Créer une stratégie WAF.
Utilisez la commande oci waf web-app-firewall-policy create et les paramètres requis pour créer une stratégie de pare-feu d'application Web :
oci waf web-app-firewall-policy create --compartment-id compartment_ocid [OPTIONS]
Pour obtenir la liste complète des paramètres et valeurs des commandes de la CLI, reportez-vous à la référence des commandes de la CLI.
Exécutez l'opération CreateWebAppFirewallPolicy pour créer une stratégie de pare-feu d'application Web.