Regole protezione WAF
Le regole di protezione abbinano il traffico Web alle condizioni delle regole e determinano l'azione da eseguire quando le condizioni vengono soddisfatte. Le impostazioni delle regole di protezione consentono di definire i parametri da applicare a ogni corrispondenza di una regola di protezione. I suggerimenti consentono di ottimizzare il profilo di sicurezza WAF. Il team Security Operations monitora in modo proattivo tutti gli eventi per fornire suggerimenti sull'azione di un set di regole specifico. Per ulteriori informazioni, vedere Regole di protezione supportate.
I criteri perimetrali contengono circa 680 regole. A causa della maturità dei criteri Edge, sono incluse più versioni del set di regole di base (CRS).Le regole esistenti vengono aggiornate e ottimizzate costantemente, oltre alla creazione di regole. A causa dei problemi di vulnerabilità, non possiamo fornire il modello di mitigazione per le regole.
Le policy WAF vengono aggiornate con CRS e CVE che rilasciano definizioni nuove e aggiornate su base trimestrale. Le definizioni delle regole in uso non vengono aggiornate poiché potrebbero causare un funzionamento imprevisto. Le nuove definizioni vengono sempre disattivate.
È possibile abilitare al massimo 100 regole per ogni criterio WAF.
Per ulteriori informazioni, vedere Regole di protezione supportate.
Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.
Elenco e accettazione dei suggerimenti delle regole di protezione
{
"name": "SQL authentication bypass attempts",
"action": "OFF",
"description": "Detects basic SQL authentication bypass attempts.",
"exclusions": [],
"key": "981244",
"tags": "SQL Injections, Recommended"
},
{
"modSecurityRuleIds": [
"950001",
"959070",
"959071",
"959072",
"950908",
"959073"
],
"name": "Common SQL Injections",
"action": "OFF",
"description": "detects common SQL injection attacks",
"exclusions": [],
"key": "950001",
"tags": "SQL Injections, WASCTC, OWASP, A1, PCI, Recommended"
},
[
"981244",
"950001"
]Impostazioni specifiche regola di protezione
Diverse impostazioni delle regole di protezione sono impostazioni per regole di protezione specifiche.
| Impostazione | ID regola | Nome regola |
|---|---|---|
| Metodi HTTP consentiti | 911100 | Limita metodi di richiesta HTTP |
| Lunghezza totale argomenti massima | 960341 | Limiti argomenti totali |
| Numero massimo di argomenti | 960335 | Numero di limiti degli argomenti |
| Lunghezza massima argomento | 960208 | Limiti valori |
Il termine "Argomenti" si riferisce ai parametri di query o ai parametri del corpo in una richiesta PUT/POST. Ad esempio, se il numero massimo di argomenti è 2 e RuleID 960335 è impostato su BLOCK, una delle seguenti richieste verrà bloccata:
GET /myapp/path?query=one&query=two&query=threePOST /myapp/path with Body {"arg1":"one","arg2":"two","arg3":"three"}POST /myapp/path?query=one&query=two with Body {"arg1":"one"}Lunghezza massima argomento: la lunghezza di un nome o il valore dell'argomento. Lunghezza totale argomento si riferisce alla somma del nome e della lunghezza del valore.
Esclusioni
Configurare un'eccezione nel servizio Web Application Firewall.
A volte una regola di protezione può attivare un falso positivo. È possibile configurare un'eccezione se la richiesta o le richieste che generano il falso positivo dispongono di un determinato argomento o cookie che può essere utilizzato per identificare tale richiesta da escludere dall'azione normalmente eseguita sulla regola. È possibile utilizzare i seguenti parametri di esclusione:
|
Nome |
descrizione; |
|---|---|
|
Parametri richiesta |
Lista di valori dei parametri (per nome parametro) dai payload con codifica form, XML, JSON, AMP o POST da escludere dall'analisi. |
|
Cookie richiesta |
Lista di valori dei cookie di richiesta HTTP (per nome cookie) da escludere dall'analisi. |