Introduction aux stratégies Web Application Firewall
Commencez avec la création et la gestion d'une stratégie de pare-feu d'applications Web.
Avant de commencer
Pour connaître les concepts importants relatifs au pare-feu d'application Web, reportez-vous à Stratégie de service IAM requise.
Pour commencer à utiliser le service WAF, vous devez disposer des éléments suivants :
-
Les droits pour la stratégie de service IAM requise.
-
Nous vous recommandons d'utiliser un compartiment distinct pour votre stratégie de pare-feu d'application Web afin que la gestion soit plus facile et plus sécurisée. Pour plus d'informations, reportez-vous à Gestion des compartiments.
-
Un équilibreur de charge avec un processus d'écoute HTTP.
Vous ne pouvez modifier votre stratégie de pare-feu d'application Web que lorsque le statut de la stratégie est ACTIVE.
Tâches
Vous pouvez effectuer les tâches suivantes avec les stratégies WAF :
- Liste des stratégies Web Application Firewall
- Création d'une stratégie Web Application Firewall
- Obtention des détails d'une stratégie Web Application Firewall
- Modification d'une stratégie Web Application Firewall
- Déplacement d'une stratégie Web Application Firewall entre des compartiments
- Suppression d'une stratégie Web Application Firewall
Méthodes d'accès au service Web Application Firewall
Pour accéder à Oracle Cloud Infrastructure (OCI), vous pouvez utiliser la console (interface basée sur un navigateur), l'API REST ou l'interface de ligne de commandeOCI. Les instructions d'utilisation de la console, de l'API et de la CLI sont incluses dans les rubriques du présent document. Pour obtenir la liste des kits SDK disponibles, reportez-vous à Kits de développement logiciel et interface de ligne de commande.
Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Pour accéder à la page d'identification de la console, ouvrez le menu de navigation en haut de cette page et sélectionnez Console Infrastructure. Vous êtes invité à saisir votre locataire cloud, votre nom utilisateur et votre mot de passe.
Limites et fonctionnalités du service Web Application Firewall
Le service Web Application Firewall (WAF) présente les fonctionnalités et limites suivantes :
-
Stratégies Web Application Firewall : 100 par locataire.
-
Listes d'adresses réseau : 100 par locataire.
Pour obtenir la liste des limites applicables et des instructions permettant de demander une augmentation de limite, reportez-vous à Limites de service. Pour définir des limites propres aux compartiments sur une ressource ou une famille de ressources, les administrateurs peuvent utiliser des quotas de compartiment.Remarque
Le service WAF permet une durée d'exécution totale de 10 minutes pour les processus de téléchargement vers le serveur et vers le serveur via le pare-feu d'application Web.
- La stratégie WAF ne prend pas en charge Network Load Balancer. La stratégie WAF prend uniquement en charge l'équilibreur de charge.
- Le processus d'écoute TCP n'est pas compatible avec la stratégie WAF. La stratégie WAF prend uniquement en charge les processus d'écoute HTTP.
-
La stratégie WAF prend en charge IPv6. La stratégie WAF est attachée directement à l'équilibreur de charge, où vous pouvez sélectionner la prise en charge de IPv6.
Une fois que vous avez créé un équilibreur de charge et choisi le type, sélectionnez Activer l'affectation d'adresse IPv6.
Lorsque vous créez un équilibreur de charge, vous pouvez choisir d'utiliser une configuration double pile IPv4/IPv6. Lorsque vous choisissez l'option IPv6, le service Load Balancer affecte à la fois une adresse IPv4 et une adresse IPv6 à l'équilibreur de charge. L'équilibreur de charge reçoit le trafic client envoyé à l'adresse IPv6 affectée. Il utilise uniquement les adresses IPv4 pour communiquer avec les serveurs back-end. Il n'existe aucune communication IPv6 entre l'équilibreur de charge et les serveurs back-end.Remarque
L'affectation d'adresse IPv6 a lieu uniquement lors de la création de l'équilibreur de charge. Vous ne pouvez pas affecter d'adresse IPv6 à un équilibreur de charge existant. - Les stratégies WAF sont uniquement régionales. Une stratégie WAF ne peut pas être utilisée simultanément dans plusieurs régions.
- Une seule stratégie peut être utilisée avec plusieurs équilibreurs de charge. Vous pouvez utiliser une stratégie avec plusieurs équilibreurs de charge à condition que tous les équilibreurs de charge se trouvent dans la même région que la stratégie.
- Les règles de stratégie WAF sont exécutées dans l'ordre suivant :
- WAF requestAccessControl
- WAF requestRateLimiting
- WAF requestProtection
- règle requestProtection 1
- inspection d'en-tête - mode CHECK - protectionCapabilities
- inspection d'en-tête - mode BLOCK - protectionCapabilities
- inspection de corps - mode CHECK - protectionCapabilities
- inspection de corps - mode BLOCK - protectionCapabilities
- règle requestProtection 2
- requestProtection règle N
- règle requestProtection 1
- <demande transmise au back-end et réponse reçue>
- WAF responseAccessControl
- WAF responseProtection
- responseProtection règle 1
- inspection d'en-tête - mode CHECK - protectionCapabilities
- inspection d'en-tête - mode BLOCK - protectionCapabilities
- inspection de corps - mode CHECK - protectionCapabilities
- inspection de corps - mode BLOCK - protectionCapabilities
- responseProtection règle 2
- responseProtection règle N
- responseProtection règle 1
Stratégie de service IAM requise
Afin d'utiliser Oracle Cloud Infrastructure, vous devez bénéficier d'un accès dans une stratégie pour waas-policy. Si vous essayez d'effectuer une action et qu'un message indique que vous n'y êtes pas autorisé, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Liste des droits d'accès obligatoires :
Allow group-id to manage waas-family in compartment_ocid
Allow group-id to manage web-app-firewall in compartment_ocid
Allow group-id to manage waf-policy in compartment_ocid
Allow group-id to use waf-network-address-list in compartment_ocidexemples de stratégie :
- Pour autoriser un groupe d'utilisateurs spécifique à gérer les pare-feu d'application Web de votre location :
Allow group-id to manage web-app-firewall in tenancy - Pour autoriser un groupe d'utilisateurs spécifique à inspecter les stratégies de pare-feu d'application Web d'un compartiment spécifique :
Allow group-id to inspect waf-policy in compartment_ocid - Pour autoriser un groupe d'utilisateurs spécifique à utiliser les listes d'adresses réseau de pare-feu d'application Web de votre location :
Allow group-id to use waf-network-address-list in tenancy
Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes. Pour plus de détails sur les stratégies pour WAF, reportez-vous à Détails du service WAF.
Application des balises
Appliquez des balises aux ressources afin de les organiser selon les besoins de votre entreprise. Vous pouvez appliquer des balises lorsque vous créez une ressource, et mettre à jour une ressource ultérieurement pour ajouter, réviser ou enlever des balises. Pour obtenir des informations générales sur l'application de balises, reportez-vous à Balises de ressource.