Règles d'accès pour les stratégies en périphérie
Utilisez Web Application Firewall pour gérer les règles d'accès au sein d'une stratégie Edge.
En tant qu'administrateur WAF, vous pouvez définir des actions explicites pour les demandes qui remplissent différentes conditions. Les conditions impliquent diverses opérations et expressions régulières. Une action de règle peut être définie afin de journaliser et d'autoriser, de détecter, de bloquer, de rediriger, de contourner ou d'afficher un CAPTCHA pour toutes les demandes avec correspondance.
Les informations suivantes fournissent les conditions disponibles pour une règle d'accès.
| Type de critère | Critères |
|---|---|
| URL |
Définissez des critères reposant sur les éléments suivants :
La mise en correspondance d'expressions régulières d'URL utilise des expressions régulières compatibles avec Perl. La mise en correspondance basée sur l'URL dans les règles d'accès concerne un emplacement du même domaine, par exemple "/login.php". Pour cibler une URL absolue complète, vous pouvez utiliser une combinaison de correspondance d'en-tête (hôte : www.example.com) et d'URL "/login.php". |
| Adresse IP |
Définissez des critères reposant sur les éléments suivants :
Il peut s'agir d'une adresse IPv4, d'un sous-ensemble ou d'une notation CIDR valide pour une plage. Les critères d'adresse IP peuvent être utilisés pour restreindre le trafic entrant propre aux adresses IP et aux plages CIDR. Le protocole IPv6 n'est pas encore pris en charge. Pour plus d'informations sur la création d'une liste d'adresses IP pouvant être utilisées dans la règle d'accès, reportez-vous à Listes des adresses IP pour les stratégies en périphérie. |
| Pays/Région |
Définissez des critères reposant sur les éléments suivants :
Pour l'API, utilisez un code pays à deux lettres. |
| Agent utilisateur |
Identifiez le client de navigateur.
|
| En-tête HTTP |
Evaluez comme critère :
Entrez la valeur L'en-tête HTTP contient avec un signe deux-points comme délimiteur : <nom>:<valeur>. Vous ne pouvez pas utiliser de caractères génériques. |
| Méthode HTTP |
Evaluez comme critère :
Les méthodes disponibles sont les suivantes : GET, POST, PUT, DELETE, HEAD, CONNECT, OPTIONS, TRACE et PATCH. |
- Pour la séquence de traitement des onglets "Règles d'accès" et "Liste blanche d'IP", la liste blanche d'IP est déclenchée en premier. Si l'adresse IP ne figure pas dans la liste d'autorisation des adresses IP, la séquence est déplacée vers les règles d'accès.
- WAF prend en charge les codes de réponse de réacheminement HTTP suivants :
- 301 - Déplacé définitivement : utilisez ce code de réponse si votre site Web a été déplacé définitivement vers l'URL de réacheminement et que vous souhaitez qu'il soit indexé par les moteurs de recherche.
- 302 - Réacheminement temporaire : utilisez ce code de réponse si une certaine URL a été modifiée vers une autre adresse pendant une courte durée.
- Vous ne pouvez inclure CAPTCHA qu'en tant que page complète et non en tant que composant en ligne dans le site Web.
- Vous ne pouvez réorganiser les règles d'accès qu'à l'aide de l'API pour réorganiser manuellement les règles répertoriées.
- Vous ne pouvez pas réorganiser les règles d'accès lorsque vous créez une règle d'accès avec l'action BLOCK.
- Le moyen le plus simple de tout bloquer, à l'exception d'adresses IP spécifiques, est de créer une règle d'accès unique pour bloquer si "l'adresse IP ne figure pas dans la liste des adresses". Cette règle bloque tout le trafic autre que celui des adresses IP présentes dans vos listes d'adresses IP. Si d'autres fonctionnalités de sécurité sont activées, elles sont toujours actives, même pour les adresses IP de la liste d'adresses. Pour ignorer toutes les mesures de sécurité, ajoutez des adresses IP à la liste blanche des adresses IP.