Documentation Oracle Cloud Infrastructure

Règles de protection WAF

Les règles de protection mettent en correspondance le trafic Web avec les conditions de règle et déterminent l'action à exécuter lorsque les conditions sont remplies. Les paramètres de règle de protection vous permettent de définir ceux de la mise en oeuvre chaque fois qu'il existe une correspondance à la règle de protection. Les recommandations contribuent à l'optimisation de votre profil de sécurité WAF. L'équipe des opérations de sécurité surveille de manière proactive tous les événements pour fournir des recommandations concernant l'action d'un ensemble de règles spécifique. Pour plus d'informations, reportez-vous à Règles de protection prises en charge.

Les stratégies en périphérie comportent environ 680 règles. En raison de la maturité des stratégies en périphérie, plusieurs versions de l'ensemble de règles de base (CRS) sont incluses.
Remarque

Outre la création de règles, nous mettons à jour et optimisons en permanence les règles existantes. En raison de problèmes de vulnérabilité, nous ne pouvons pas fournir le modèle d'atténuation pour les règles.

Les stratégies WAF sont constamment mises à jour avec les CRS et les CVE. Des définitions nouvelles et mises à jour sont publiées tous les trimestres. Les définitions de règle en cours d'utilisation ne sont pas mises à jour car cela pourrait entraîner un comportement inattendu. Les nouvelles définitions sont toujours propagées à l'état désactivé.

Vous pouvez activer jusqu'à 100 règles par stratégie WAF.

Pour plus d'informations, reportez-vous à la section Supported Protection Rules.

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Obtention de la liste et acceptation des recommandations de règle de protection

Utilisez les opérations suivantes pour obtenir la liste des règles et paramètres de protection :
{
   "name": "SQL authentication bypass attempts",
   "action": "OFF",
   "description": "Detects basic SQL authentication bypass attempts.",
   "exclusions": [],
   "key": "981244",
   "tags": "SQL Injections, Recommended"
   },

   {

   "modSecurityRuleIds": [
      "950001",
      "959070",
      "959071",
      "959072",
      "950908",
      "959073"
				],

   "name": "Common SQL Injections",
   "action": "OFF",
   "description": "detects common SQL injection attacks",
   "exclusions": [],
   "key": "950001",
   "tags": "SQL Injections, WASCTC, OWASP, A1, PCI, Recommended"

   },
En utilisant les valeurs de clé de la sortie de l'appel GET ci-dessus, vous pouvez accepter des recommandations à l'aide de l'opération suivante, qui transmet un tableau des clés : Corps :
[
   "981244",
   "950001"
]

Paramètres propres aux règles de protection

Plusieurs paramètres de règle de protection sont définis pour des règles de protection spécifiques.

Paramètre ID de règle Nom de règle
Méthodes HTTP autorisées 911100 Restriction des méthodes de demande HTTP
Longueur totale maximale d'un argument 960341 Limites de total des arguments
Nombre maximal d'arguments 960335 Limites de nombre d'arguments
Longueur maximale d'un argument 960208 Limites des valeurs

Le terme "Arguments" fait référence aux paramètres de requête ou de corps dans une demande PUT/POST. Par exemple, si le nombre maximal d'arguments est de 2 et que RuleID 960335 est défini sur BLOCK, toutes les demandes suivantes sont bloquées :

GET /myapp/path?query=one&query=two&query=three
POST /myapp/path with Body {"arg1":"one","arg2":"two","arg3":"three"}
POST /myapp/path?query=one&query=two with Body {"arg1":"one"}

La longueur maximale d'un argument correspond à la longueur du nom ou de la valeur de l'argument. La longueur totale d'un argument fait référence à la somme des longueurs du nom et de la valeur.

Exclusions

Configurez une exception dans le service Web Application Firewall.

Parfois, une règle de protection peut déclencher un faux positif. Vous pouvez configurer une exception si les demandes qui génèrent le faux positif comportent un argument ou un cookie particulier qui peut être utilisé pour identifier cette demande à exclure de l'action normalement effectuée sur la règle. Vous pouvez utiliser les paramètres d'exclusion suivants :

Paramètres d'exclusion

Nom

Description

Paramètres de demande

Liste des valeurs de paramètre (par nom de paramètre) issues de charges utiles form-urlencoded, XML, JSON, AMP ou POST à exclure de l'inspection.

Cookies de demande

Liste des valeurs de cookie de demande HTTP (par nom de cookie) à exclure de l'inspection.