Regole di accesso per criteri perimetrali
Utilizzare Web Application Firewall per gestire le regole di accesso all'interno di un criterio perimetrale.
L'amministratore WAF può definire azioni esplicite per le richieste che soddisfano varie condizioni. Le condizioni utilizzano varie operazioni ed espressioni regolari. È possibile impostare un'azione della regola per registrare e consentire, rilevare, bloccare, reindirizzare, ignorare o mostrare un CAPTCHA per tutte le richieste corrispondenti.
Le informazioni riportate di seguito forniscono le condizioni disponibili per una regola di accesso.
| Tipo di criteri | Criteri |
|---|---|
| URL |
Definire uno o più criteri in base a:
La corrispondenza delle espressioni regolari URL utilizza espressioni regolari compatibili con Perl. La corrispondenza basata su URL nelle regole di accesso si riferisce a una posizione nello stesso dominio, ad esempio "/login.php". Per indirizzare un URL assoluto completo, è possibile utilizzare una combinazione di corrispondenze di intestazione (host: www.example.com) e URL "/login.php". |
| Indirizzo IP |
Definire uno o più criteri in base a:
Questi valori possono essere un indirizzo IPv4, un subset o una notazione CIDR valida per un intervallo. È possibile utilizzare i criteri dell'indirizzo IP per limitare il traffico in entrata specifico sia per gli indirizzi IP che per gli intervalli CIDR. IPv6 non è ancora supportato. Per informazioni su come creare una lista di indirizzi IP utilizzabili nella regola di accesso, vedere Liste di indirizzi IP per i criteri perimetrali. |
| Paese/regione |
Definire uno o più criteri in base a:
Per l'API, utilizzare un codice paese di due lettere. |
| User Agent |
Identificare il client del browser.
|
| Intestazione HTTP |
Valuta come criterio:
Immettere un valore contenente l'intestazione HTTP con <name>:<value> delimitato da due punti. Impossibile utilizzare caratteri jolly. |
| Metodo HTTP |
Valuta come criterio:
I metodi disponibili includono GET, POST, PUT, DELETE, HEAD, CONNECT, OPTIONS, TRACE e PATCH. |
- Per la sequenza di elaborazione delle schede "Regole di accesso" rispetto a "Lista di inclusione IP", viene prima attivata la lista di inclusione IP. Se l'indirizzo IP non si trova nella lista di inclusione degli indirizzi IP, la sequenza passa alle regole di accesso.
- WAF supporta i seguenti codici di risposta di reindirizzamento HTTP:
- 301 - Spostato definitivamente: utilizzare questo codice di risposta se il sito Web è stato spostato definitivamente nell'URL di reindirizzamento e si desidera che i motori di ricerca lo indicizzino.
- 302 - Reindirizzamento temporaneo: utilizzare questo codice di risposta se un determinato URL è stato modificato in un indirizzo diverso per un breve periodo di tempo.
- È possibile includere CAPTCHA solo come pagina completa e non come componente in linea nel sito Web.
- È possibile riordinare le regole di accesso solo utilizzando l'API per riordinare manualmente le regole elencate.
- Impossibile riordinare le regole di accesso quando si crea una regola di accesso con l'azione BLOCK.
- Il modo più semplice per bloccare tutto tranne che per specifici indirizzi IP è quello di creare una singola regola di accesso a BLOCK se "Indirizzo IP non presente nella lista di indirizzi". Questa regola blocca tutto il traffico diverso dagli indirizzi IP presenti nelle liste di indirizzi IP. Se sono abilitate altre funzioni di sicurezza, sono ancora attive, anche per gli indirizzi IP nell'elenco degli indirizzi. Per ignorare tutte le misure di sicurezza, aggiungere gli indirizzi IP alla lista di inclusione degli indirizzi IP.