Documentação do Oracle Cloud Infrastructure

Conceitos Básicos de Políticas de Borda

Use o Firewall de Aplicativo Web para gerenciar políticas de Borda.

Antes de Começar

Consulte a Visão Geral do Serviço Web Application Firewall para conhecer conceitos importantes sobre o serviço WAF.

Para começar a usar o serviço WAF, você deve ter o seguinte disponível:

  • Certifique-se de que você tenha as permissões da Política do Serviço IAM Obrigatória.
  • Recomendamos que você use um compartimento separado para a política do serviço WAF para que o gerenciamento seja mais fácil e seguro.
  • Um domínio principal de aplicativo Web.
  • Endereço IP do LBaaS ou outro ponto final público do aplicativo .
  • Capacidade de atualizar registros de DNS para o domínio.
  • O serviço WAF só suporta tráfego nas portas 80/443. No entanto, após as solicitações chegarem ao WAF nas portas 80/443, poderemos enviar as solicitações ao seu servidor de origem em qualquer porta necessária. Veja um exemplo a seguir:

    Usuário Final → Porta 80/443 → WAF → Porta 443/8000/555/*** → Servidor de Origem

    Certifique-se de que seu aplicativo não esteja em execução em outras portas.
    Observação

    Você não pode usar o WAF para tráfego como SSH, FTP ou SMTP.

Além disso, se você planeja executar seu site em HTTPS/443, você precisa:

  • Certificado público do nome de domínio totalmente qualificado (FQDN) do aplicativo.
  • Chave privada correspondente do site.
  • Certificado no formato PEM.
  • Certificado de cadeia completa (Raiz, Intermediário, Servidor de Origem)
    Observação

    Os certificados SSL só podem ser aplicados ao aplicativo principal da política.

Em geral, as alterações nas políticas de Borda levam de 10 a 30 minutos para serem propagadas, dependendo da alteração. Isso leva muito tempo para se propagar porque temos centenas de nós para os quais novas configurações são enviadas. As seguintes alterações de recurso geralmente se propagam de 10 a 15 minutos:

  • Políticas de bots
  • HIC (Desafio de Interação Humana)
  • Desafio de Impressão Digital do Dispositivo
  • Desafio de Javascript
  • Desafio de CAPTCHA
  • Lista Branca de Bom Bot
  • Regras de Acesso
  • Thread Intelligence
  • Lista de IPs
  • Lista de Permissões de IPs

Considere as seguintes informações ao trabalhar com políticas do Edge:

  • IPv6 não é suportado no momento.

  • O serviço WAF inspeciona, mas não altera o corpo da resposta.
  • O limite de armazenamento em cache é de 1 GB por política.
  • Para limitações de upload de tamanho de arquivo, o limite é de 1 GB. Para limitações de tamanho de arquivo, considere:
    • O limite não depende do tipo de upload, como imagens, vídeos, binários etc.
    • O cabeçalho Content-Type não afeta o limite. Somente regras de proteção diferentes são aplicadas com base no cabeçalho Content-Type.
    • Os uploads que usam chunked ou streams não afetam o limite. No modo de buffer, o limite é de 1 GB para uploads e downloads. No entanto, alguns outros modos, incluindo streaming do corpo da resposta, não consideram o limite de 1 GB.
    • As conexões do serviço WAF raramente são canceladas. Um cancelamento pode ocorrer por causa de grandes uploads ou conexões lentas. Após o recarregamento do nó de borda, uma conexão poderá ser cancelada quando um processo de "limpeza" for executado, se o ciclo de solicitação ou resposta demorar muito.
  • Ao usar o WAF com serviços de streaming de conteúdo, os serviços de streaming de conteúdo poderão ser afetados porque nossas regras de proteção exigem buffer do conteúdo HTML completo antes da análise. Todo o conteúdo precisa ser armazenado em buffer no nosso mecanismo principal de regras de proteção, o que pode levar a respostas lentas ou eventos que não exibem o conteúdo de streaming.
  • Você pode criar ou restaurar backups de políticas do serviço WAF com a CLI do OCI. Extraia o arquivo JSON completo do aplicativo web e, em seguida, recrie-o em partes. Recomendamos que você recrie as definições principais primeiro e, em seguida, os desafios e recursos de segurança do aplicativo web.
  • Você pode ativar WebSocket para um URL específico por meio da CLI usando o seguinte comando:

    oci waas policy-config update --waas-policy-id ocid1.waaspolicy.oc1..[WAAS POLICY OCID] --websocket-path-prefixes '["/url/url/websocket"]'

    Observação

    O suporte ao WebSocket impede o processamento do WAF nos caminhos especificados. Isso significa que, se uma regra de WAF estiver ativada, ela não analisará as solicitações que vão para o URL excluído na configuração. No entanto, outras medidas, como Desafio de Interação Humana e Desafio JavaScript, podem ser ativadas para fornecer uma camada extra de segurança para o URL WebSocket.
  • A "chave" no Feed de Inteligência de Ameaças gerado é diferente para cada política de WAF.

  • É possível fazer alterações nas políticas de Borda somente quando o status da política for ATIVO.

Estimar custo para usar o WAF

Use essas informações para estimar custos de uso do serviço WAF.
Você pode estimar o custo da seguinte forma:
  1. Acesse: https://www.oracle.com/cloud/cost-estimator.html.
  2. Clique em Pesquisar e procure Rede - WAF.
  3. Clique em Adicionar.
  4. Em Adicionar Configuração, clique no menu ao lado do nome do serviço, selecione Adicionar por SKU e informe a SKU.
  5. Clique em Adicionar.

    No calculador de custos, "Instância" representa a política de WAF.

Configuração Inicial da Política do Serviço WAF

1. Criar uma Política de Borda para Rotear Tráfego pelo WAF

Para começar, crie uma política de borda para rotear o tráfego pelo WAF sem regras ativadas. A criação de uma política sem regras ativadas garante que não haja regressões fazendo com que haja um proxy reverso na frente do aplicativo.

Para criar uma política de borda

  1. Selecione a região e o compartimento em que a política deve ser mantida (não há restrição em torno do WAF coexistente com o Balanceador de Carga ou outros recursos de aplicativo no Oracle Cloud Infrastructure.

  2. Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.

  3. Clique em Criar Política de WAF.

  4. Na parte inferior da página Informações Básicas, verifique o seguinte:

    Use o workflow legado aqui caso precise proteger seus aplicativos web que não fazem parte do OCI.

  5. Clique no link para exibir a caixa de diálogo Criar Política de Borda.
  6. Preencha as seguintes informações:
    • Nome: Um nome exclusivo para a política.
    • Domínios:
      • Domínio Principal: O nome de domínio totalmente qualificado (FQDN) do aplicativo em que a política será aplicada.
      • Domínios Adicionais: (Opcional) Subdomínios em que a política será aplicada.
        Observação

        Os domínios curinga são aceitos, no entanto, apenas como domínios adicionais e somente por meio da API e da CLI.

    • Origem WAF: O host ou endereço IP do aplicativo público voltado para a Internet que está sendo protegido.
      • Nome da Origem: Um nome exclusivo para a origem.
      • URI: Informe o ponto final de acesso público (IPv4 ou FQDN) do aplicativo.
      • Porta HTTPS: A porta usada para conexão HTTP segura. A porta padrão é 443.
      • Porta HTTP: A porta HTTP em que a origem faz listening. A porta padrão é 80.
      • Cabeçalhos: (Opcional)
        • Nome do Cabeçalho: O nome exibido no cabeçalho de solicitação HTTP e o valor do cabeçalho que pode ser adicionado e informado ao servidor de origem com todas as solicitações.
        • Valor do Cabeçalho: Especifica os dados solicitados pelo cabeçalho.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
  7. Clique em Criar Política de WAF. A visão geral da Política de WAF é exibida. Espera-se que a política fique ativa 15 minutos após a criação.

    Consulte Gerenciando Políticas de Borda para obter mais informações.

2. Atualizar Timeout de Keep Alive de Origem

A política de borda requer que os timeouts de keep alive da sua origem (balanceador de carga ou servidor Web) sejam mantidos por 301 segundos ou mais, pois nosso valor de timeout de upstream é de 300 segundos. O segundo adicional é garantir que a conexão tenha tempo suficiente para renegociar quando nossos nós criarem conexões e assim evitar problemas de conectividade. Isso se aplica a chamadas de API, pois usamos nossa tecnologia de Multiplexação de Rede do OCI que ajuda a reduzir gargalos de rede e melhorar o desempenho otimizando o protocolo TCP.

Para testar o timeout de keep alive de upstream

Verificação HTTP:

  1. Faça a solicitação em relação ao servidor de origem ou upstream. Execute o seguinte comando:
    time telnet www-origin.example.com 80
    Exemplo de saída:
    Trying 12.34.56.78...
Connected to lb65-soc-191485947.us-east-1.elb.amazonaws.com.
Escape character is '^]'.
  2. Faça uma solicitação GET informando os seguintes cabeçalhos HTTP:
    GET / HTTP/1.1
Host: www.example.com
Connection: keep-Alive
  3. Pressione ENTER duas vezes e aguarde o fechamento ou desconexão da sessão.

Verificação HTTPS:

  1. Inicie a solicitação no Servidor de Origem ou Upstream. Execute o seguinte comando:
    time openssl s_client -connect www-origin.example.com:443
  2. Faça uma solicitação GET informando os seguintes cabeçalhos HTTP:
    GET / HTTP/1.1
Host: www.example.com
Connection: keep-Alive
  3. Pressione ENTER duas vezes e aguarde o fechamento ou desconexão da sessão.
Você receberá a saída a seguir. Neste exemplo, a seção real mostra o tempo real em que a sessão estava ativa (5,1 minutos (301 segundos)):
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
... 

<!DOCTYPE html>
<html>
...
</html> 

Connection closed by foreign host.
real 5m1.962s
user 0m0.011s
sys 0m0.009s

Consulte Gerenciamento de Origem para obter mais informações.

3. Fazer Upload do Seu Certificado e Chave

Esta etapa pressupõe que seu site seja executado em HTTPS/443.

Para fazer upload de seu certificado e chave
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.

    Como alternativa, abra a página Web Application Firewall e clique em Políticas em Recursos.

    A página Políticas de WAF é exibida.

  2. Selecione o Compartimento na lista.

    Todas as políticas de WAF desse compartimento são listadas em formato tabular.

  3. (Opcional) Aplique um ou mais dos seguintes Filtros para limitar as políticas de WAF exibidas:

    • Estado

    • Nome

    • Tipo de Política: Selecione Política de Borda.

  4. Selecione a política de borda para a qual você deseja fazer upload do certificado e da chave.

    A caixa de diálogo Detalhes da Política de Borda é exibida.

  5. Clique em Definições em Política de WAF.
    A lista Definições será exibida.
  6. Selecione Definições Gerais.
  7. Clique em Editar.
    A caixa de diálogo Editar Definições é exibida.
  8. Preencha as seguintes informações:
    • Ativar Suporte HTTP: Marque esta caixa de seleção para permitir que todas as comunicações entre o browser e o aplicativo web sejam criptografadas.
      • Origem do Certificado: Escolha um dos seguintes métodos:
        • Escolher Certificado: Selecione um certificado existente no menu drop-down. Clique em Alterar Compartimento para selecionar um certificado de outro compartimento.
        • Fazer Upload ou Colar Certificado e Chave Privada

          • Arraste e solte, selecione ou cole um certificado SSL válido no formato PEM. Você também deve incluir certificados intermediários (o certificado do site deve ser incluído primeiro). Veja um exemplo a seguir:

            -----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Intermediate_Base64_encoded_certificate>
-----END CERTIFICATE-----

          • Chave Privada: Arraste e solte, selecione ou cole uma chave privada válida no formato PEM neste campo. A chave privada não pode ser protegida por uma frase-senha. Veja um exemplo a seguir:

            -----BEGIN PRIVATE KEY-----
<Base64_encoded_private_key>
-----END PRIVATE KEY-----
      • Certificado Autoassinado: Ative este campo ao usar um certificado autoassinado para mostrar uma advertência SSL no browser.
      • Redirecionamento HTTP para HTTPS: Quando ativado, todo o tráfego HTTP é automaticamente redirecionado para HTTPS.
      • Suporte a Protocolos TLS: Selecione um protocolo TLS na lista drop-down.
        Cuidado

        As versões 1 e 1.1 do TLS foram descontinuadas e não podem ser usadas nas configurações de política. Se você usar essas versões, poderá ocorrer um erro de validação. Use as versões 1.2 ou 1.3.
      • Ativar SNI: Indicação de Nome do Servidor (SNI) é uma extensão do protocolo TLS, que permite que diversos nomes de host seguros sejam oferecidos de um único endereço IP.
      • Opções Avançadas
        • Ativar Armazenamento de Respostas no Buffer: Ative ou desative o armazenamento em buffer da resposta da origem.
        • Controle de Cache Respeitado: Ative ou desative o armazenamento automático em cache do conteúdo com base no cabeçalho de controle do cache de resposta.
        • Por Trás da CDN: A ativação dessa opção permite a coleta de endereços IP da solicitação do cliente se o serviço WAF estiver conectado a uma CDN.
  9. Clique em Salvar Alterações.
É necessário publicar suas alterações para que elas entrem em vigor. Consulte Publicando Alterações.

4. Testar Seu Aplicativo (Antes de Implantá-lo na Produção)

Nesta etapa, você garante que as solicitações estão sendo roteadas para o WAF e que seu aplicativo continua funcionando normalmente com um proxy reverso na topologia.

Testar seu aplicativo por meio de um comando de terminal
  1. Abra um terminal.

    Execute o seguinte comando para HTTP:

    curl -lvk http://<OCI_WAF_CNAME> -H "Host: <WEBAPP_DOMAIN>" -so /dev/null

    Execute o seguinte comando para HTTPS:

    curl -lvk https://<OCI_WAF_CNAME> -H "Host: <WEBAPP_DOMAIN>" -so /dev/null
  2. Você também pode executar uma consulta DNS com relação a <OCI_WAF_CNAME> para sua política do serviço WAF e copiar um dos endereços IP da saída resultante.
    • Para executar uma consulta de DNS, você pode usar um dos seguintes comandos:
      dig <OCI_WAF_CNAME>
      nslookup <OCI_WAF_CNAME>
    • Copie qualquer um dos endereços IP da saída.
  3. Execute o seguinte comando. Substitua <WEBAPP_DOMAIN> pelo seu domínio de política do serviço WAF. Use a porta 80 ou 443. Substitua <OCI_NODE_IP> pelo endereço IP de OCI_WAF_CNAME.
    Query curl -vso/dev/null --resolve <WEBAPP_DOMAIN>:<PORT_80_OR_443>:<OCI_NODE_IP> https://<WEBAPP_DOMAIN>

    Um 200, 301, 302 ou qualquer outro código de resposta HTTP esperado é retornado.

    Observação

    Se você receber um erro HTTP 5XX, certifique-se de ter atualizado sua definição de firewall para permitir nossos endereços IP. Se você ainda estiver tendo um problema, abra uma solicitação de serviço junto ao My Oracle Support. Na solicitação de suporte, forneça o OCID do compartimento, o OCID da política, a explicação sobre o problema que você está enfrentando, um arquivo HAR e o horário em que o problema começou.
Testar seu aplicativo por meio de um web browser

Para testar seu aplicativo usando um arquivo hosts, você precisa de um endereço IP onde possa apontar seu aplicativo. De acordo com a política, você deve ver o CNAME que está designado a você. Você pode obter o endereço IP onde você pode apontar seu aplicativo.

  1. Abra um terminal.
  2. Execute uma consulta de DNS usando qualquer um dos seguintes comandos:
    dig <OCI_WAF_CNAME>
    nslookup <OCI_WAF_CNAME>
  3. Copie um dos três endereços IP de uma seção de Resposta de saída de comando dig e cole-o em um arquivo hosts com seu nome de domínio.
  4. Depois de salvar o arquivo hosts, abra o aplicativo em um browser e verifique se ele está funcionando conforme esperado.

    Um 200, 301, 302 ou qualquer outro código de resposta HTTP esperado é retornado.

    Observação

    Se você receber um erro HTTP 5XX, certifique-se de ter atualizado sua definição de firewall para permitir nossos endereços IP. Se você ainda estiver tendo um problema, abra uma solicitação de serviço junto ao My Oracle Support. Na solicitação de suporte, forneça o OCID do compartimento, o OCID da política, a explicação sobre o problema que você está enfrentando, um arquivo HAR e o horário em que o problema começou.
Testar sua SSL
As seguintes ferramentas úteis de linha de comando podem ser usadas para validar certificados em um determinado aplicativo Web:
echo | openssl s_client -showcerts -servername <Domain> -connect <Domain>:443 2>/dev/null | openssl x509 -inform pem -noout -text
Preste especial atenção às datas de validade do certificado e às datas de expiração que podem causar problemas de conexão:
..
Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
        Validity
            Not Before: Jun  5 03:15:10 2020 GMT
            Not After : Sep  3 03:15:10 2020 GMT
        Subject: CN = www.example.com
        Subject Public Key Info:
...

Você também pode verificar o certificado de sites de terceiros, como SSL Shooper ou SSL labs e executar a validação lá.

5. Atualizar o DNS para Ativar o Serviço WAF

Depois de confirmar que seu aplicativo Web funciona perfeitamente por meio do serviço WAF, agora você pode continuar atualizando o DNS globalmente.

Nesta etapa, você atualiza o CNAME de sua zona para rotear solicitações de clientes da Internet para o WAF. Use as instruções a seguir para fazer essa alteração de DNS na Console. Se sua configuração de DNS residir com outro provedor, consulte a documentação para obter instruções.

Para atualizar o CNAME de sua zona
  1. Na guia Informações da Política da visão geral da Política de WAF, selecione o Destino do CNAME.
  2. Copie o destino do CNAME para a área de transferência.
  3. Abra o menu de navegação e clique em Rede. Em Gerenciamento de DNS, clique em Zonas.

  4. Clique no Nome da Zona do domínio principal no qual você deseja atualizar o registro. Os detalhes da zona e uma lista de registros são exibidos.

  5. Marque a caixa de seleção do registro CNAME e selecione Editar no menu drop-down Ações.
  6. Na caixa de diálogo Editar Registro, atualize o campo Destino com o Destino do CNAME da área de transferência.
  7. Clique em Submeter.
  8. Clique em Publicar Alterações.
  9. Na caixa de diálogo de confirmação, clique em Publicar Alterações.

6. Proteger o Seu WAF

Para proteger seu WAF, você deve configurar seus servidores para aceitar o tráfego dos servidores WAF. Configure as suas regras de ingresso de origem para aceitar apenas conexões dos seguintes intervalos de CIDRs.

Intervalos de CIDR
  • 129.146.12.128/25
  • 129.146.13.128/25
  • 129.146.14.128/25
  • 129.148.156.0/22
  • 129.213.0.128/25
  • 129.213.2.128/25
  • 129.213.4.128/25
  • 130.35.0.0/20
  • 130.35.112.0/22
  • 130.35.116.0/25
  • 130.35.120.0/21
  • 130.35.128.0/20
  • 130.35.144.0/20
  • 130.35.16.0/20
  • 130.35.176.0/20
  • 130.35.192.0/19
  • 130.35.224.0/22
  • 130.35.232.0/21
  • 130.35.240.0/20
  • 130.35.48.0/20
  • 130.35.64.0/19
  • 130.35.96.0/20
  • 130.35.228.0/22
  • 132.145.0.128/25
  • 132.145.2.128/25
  • 132.145.4.128/25
  • 134.70.16.0/22
  • 134.70.24.0/21
  • 134.70.32.0/22
  • 134.70.56.0/21
  • 134.70.64.0/22
  • 134.70.72.0/22
  • 134.70.76.0/22
  • 134.70.8.0/21
  • 134.70.80.0/22
  • 134.70.84.0/22
  • 134.70.88.0/22
  • 134.70.92.0/22
  • 134.70.96.0/22
  • 138.1.0.0/20
  • 138.1.104.0/22
  • 138.1.128.0/19
  • 138.1.16.0/20
  • 138.1.160.0/19
  • 138.1.192.0/20
  • 138.1.208.0/20
  • 138.1.224.0/19
  • 138.1.32.0/21
  • 138.1.40.0/21
  • 138.1.48.0/21
  • 138.1.64.0/20
  • 138.1.80.0/20
  • 138.1.96.0/21
  • 138.1.112.0/20
  • 140.204.0.128/25
  • 140.204.12.128/25
  • 140.204.16.128/25
  • 140.204.20.128/25
  • 140.204.24.128/25
  • 140.204.4.128/25
  • 140.204.8.128/25
  • 140.91.10.0/23
  • 140.91.12.0/22
  • 140.91.22.0/23
  • 140.91.24.0/22
  • 140.91.28.0/23
  • 140.91.30.0/23
  • 140.91.32.0/23
  • 140.91.34.0/23
  • 140.91.36.0/23
  • 140.91.38.0/23
  • 140.91.4.0/22
  • 140.91.40.0/23
  • 140.91.8.0/23
  • 147.154.0.0/18
  • 147.154.128.0/18
  • 147.154.192.0/20
  • 147.154.208.0/21
  • 147.154.224.0/19
  • 147.154.64.0/20
  • 147.154.80.0/21
  • 147.154.96.0/19
  • 192.157.18.0/24
  • 192.157.19.0/24
  • 192.29.0.0/20
  • 192.29.128.0/21
  • 192.29.138.0/23
  • 192.29.144.0/21
  • 192.29.152.0/22
  • 192.29.16.0/20
  • 192.29.160.0/21
  • 192.29.168.0/22
  • 192.29.172.0/25
  • 192.29.178.0/25
  • 192.29.180.0/22
  • 192.29.32.0/21
  • 192.29.40.0/22
  • 192.29.44.0/25
  • 192.29.48.0/21
  • 192.29.56.0/21
  • 192.29.60.0/23
  • 192.29.64.0/20
  • 192.29.96.0/20
  • 192.29.140.0/22
  • 192.69.118.0/23
  • 198.181.48.0/21
  • 199.195.6.0/23
  • 205.147.88.0/21

Ativar WAF para Detectar Regras Passivamente

As regras de proteção do serviço WAF adicionam ciclos de CPU extras a cada transação; portanto, recomendamos ativar somente as regras projetadas para a sua topologia de aplicativo Web. O serviço WAF oferece um conjunto de regras recomendadas que não prejudicam o desempenho do seu site e funcionam com a maior parte do aplicativo Web. O recurso de proteção de bots do serviço WAF torna seu aplicativo Web totalmente protegido contra ameaças.

Se precisar de ajuda para configurar o serviço WAF, você poderá abrir uma solicitação de serviço junto ao My Oracle Support solicitando ajuda para ajustar o OCI WAF. Um especialista irá guiá-lo durante o processo.

Para exibir Recomendações da Regra de Proteção
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
  2. Clique no nome da Política de WAF cujas recomendações da regra de proteção você deseja exibir. A visão geral da Política de WAF é exibida.
  3. Clique em Regras de Proteção.
  4. Clique na guia Recomendações. Essa lista é gerada com base no tráfego que o WAF detecta fluindo pelo WAF. Se nada aparecer nesta lista, continue testando o FQDN do seu aplicativo e verifique novamente mais tarde.
  5. Selecione as regras de proteção com uma ação recomendada de Detectar e clique em Aceitar Recomendações.
Dica

Você pode usar o filtro Ação Recomendada para localizar uma recomendação da Detecção.
Para ativar as Regras de Proteção do serviço WAF para o modo de detecção
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
  2. Clique no nome da Política de WAF para a qual você deseja configurar definições de regras. A visão geral da Política de WAF é exibida.
  3. Clique em Regras de Proteção.
  4. Utilize a tabela Regras de Proteção para localizar as regras que você deseja detectar.
  5. Informe os IDs de Regra localizados na tabela no filtro de ID de Regra. Neste exemplo, informe 941110 (Cross-Site Scripting) no filtro ID da Regra.
  6. Selecione Detectar no menu drop-down Ações para ver as regras de proteção filtradas.

Consulte Regras de Proteção do Serviço WAF para obter mais informações.

Para ativar as Regras de Acesso do serviço WAF para o modo de detecção
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
  2. Clique no nome da Política de WAF para a qual você deseja configurar regras de acesso. A visão geral da Política de WAF é exibida.
  3. Clique em Controle de Acesso.
  4. Clique em Adicionar Regra de Acesso.
  5. Na caixa de diálogo Adicionar Regra de Acesso, informe o seguinte:
    1. Nome: DetectRequestsFromMySpecificBrowser
    2. Ação da Regra: Selecione Somente Detecção.
    3. Condições: Selecione O Endereço IP é no menu e, no campo Endereço IP, informe o endereço IP copiado para a área de transferência durante o teste do aplicativo.
    4. Clique em +Condição Adicional.
    5. Condição: Selecione O Agente do Usuário é no menu e insira, no campo Cabeçalho do Agente do Usuário, o valor do agente que você copiou para a área de transferência ao testar o aplicativo.
    Observação

    O Endereço IP e o Agente do Usuário no exemplo anterior devem corresponder na regra a ser acionada. Se outro Agente do Usuário for usado para testar seu aplicativo, a solicitação não será detectada.

  6. Clique em Adicionar Regra de Acesso.
  7. Clique em Alterações Não Publicadas.
  8. Clique em Publicar Tudo.

Consulte Controle de Acesso para Políticas de Borda para obter mais informações.

Para ativar as regras do WAF BOT para o modo de detecção (Desafio JavaScript)
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
  2. Clique no nome da Política de WAF cujas definições de Desafio de JavaScript você deseja configurar. A visão geral da Política de WAF é exibida.
  3. Clique em Gerenciamento de Bots.
  4. Clique em Editar Desafio de JavaScript.
  5. Na caixa de diálogo Desafio de JavaScript, marque a caixa de seleção Ativar Desafio de JavaScript.

  6. Na seção Ação de Desafio do JavaScript, selecione Detectar Apenas.

  7. Especifique as informações a seguir:

    • Ativar Condições: Quando essa opção estiver ativada, as condições deverão ser correspondentes para que uma ação definida seja executada. Consulte Controle de Acesso para Políticas de Borda para obter mais informações sobre condições e regras.
    • Limite de Ação (número d solicitações): Especifique o número de solicitações com falha antes de executar a ação. Por causa da solicitação assíncrona do browser durante o carregamento de páginas, é recomendável definir um limite de 10 aplicativos web com uso básico do ajax e 100 aplicativos com uso intenso do ajax.
    • Tempo de Expiração da Ação (segundos): Informe o número de segundos entre os desafios para o mesmo endereço IP. Graças às mudanças nos endereços IP do cliente, é recomendável que o tempo de expiração seja definido como 120 segundos para aplicativos com usuários móveis e 3.600 segundos para aplicativos com usuários de desktop apenas.
    • Seguir Redirecionamento: Quando essa opção está ativada, o redirecionamento de respostas da origem também será desafiado.
    • Ativar Suporte a NAT: Quando essa opção é ativada, o usuário é identificado não apenas pelo endereço IP, mas também por um hash adicional exclusivo, o que impede o bloqueio de visitantes com endereços IP compartilhados. É recomendável que esse suporte a NAT seja desativado para aplicativos de carga alta (mais de 200 RPS).
  8. Clique em Salvar Alterações.

O Desafio de JavaScript é adicionado à lista de alterações a serem publicadas.

Consulte Gerenciamento de Bots para obter mais informações.

Para ativar as regras do WAF BOT para o modo de detecção (Desafio de Interação Humana)
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
  2. Clique no nome da Política de WAF cujas definições de Desafio de JavaScript você deseja configurar. A visão geral da Política de WAF é exibida.
  3. Clique em Gerenciamento de Bots.
  4. Clique na guia Desafio de Interação Humana.
  5. Clique em Editar Desafio de Interação Humana.
  6. Na caixa de diálogo Editar Desafio de Interação Humana, marque a caixa de seleção Ativar Desafio de Interação Humana.
  7. Na seção Ação de Interação Humana, selecione Detectar Apenas.
  8. Especifique as informações a seguir:
    • Limite de Ação (número d solicitações): Especifique o número de solicitações com falha antes de executar a ação. Por causa da solicitação assíncrona do browser durante o carregamento de páginas, é recomendável definir um limite de 10 aplicativos web com uso básico do ajax e 100 aplicativos com uso intenso do ajax.
    • Período de Expiração do Limite (segundos): O número de segundos antes do limite expirar.
    • Tempo de Expiração da Ação (segundos): Informe o número de segundos entre os desafios para o mesmo endereço IP. Graças às mudanças nos endereços IP do cliente, é recomendável que o tempo de expiração seja definido como 120 segundos para aplicativos com usuários móveis e 3.600 segundos para aplicativos com usuários de desktop apenas.
    • Limite de Interação (número de interações): Número de interações antes do limite expirar.
    • Período de Gravação (segundos): O período para registrar os eventos do usuário.
    • Suporte a NAT: Quando essa opção é ativada, o usuário é identificado não apenas pelo endereço IP, mas também por um hash adicional exclusivo, o que impede o bloqueio de visitantes com endereços IP compartilhados. É recomendável desativar o suporte para os aplicativos de carga alta (mais de 200RPS).
  9. Clique em Salvar Alterações.

O Desafio de Interação Humana é adicionado à lista de alterações a serem publicadas.

Consulte Gerenciamento de Bots para obter mais informações.

Consulte Gerenciando Políticas de Borda para obter a ordem de processamento do WAF.

Testar as Regras

Quando a política estiver ativa, você poderá testar se as regras são detectadas pelo WAF.

Para iniciar solicitações
  1. Use o mesmo browser utilizado quando você testou seu aplicativo para fazer o seguinte:
    • Solicite o FQDN do seu aplicativo com o seguinte parâmetro de consulta anexado: 
      ?id=<script>alert("TEST");</script>
  2. Use outro browser na mesma máquina e repita as solicitações anteriores. Todas as solicitações devem passar pelo aplicativo.
Para verificar se o WAF está detectando solicitações

Para verificar se o WAF está detectando solicitações identificadas como risco:

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
  2. Clique no nome da Política de WAF cujos logs você deseja exibir. A visão geral da Política de WAF é exibida.
  3. Clique em Logs. Os logs da política de WAF são exibidos.
  4. Marque a caixa de seleção Detectar no filtro Ações.
  5. Verifique se há duas entradas para a regra de proteção disparada pela solicitação Cross-Site Scripting e uma entrada para detectar o Agente do Usuário e o Endereço IP.