Conceitos Básicos de Políticas de Borda
Use o Firewall de Aplicativo Web para gerenciar políticas de Borda.
Antes de Começar
Consulte a Visão Geral do Serviço Web Application Firewall para conhecer conceitos importantes sobre o serviço WAF.
Para começar a usar o serviço WAF, você deve ter o seguinte disponível:
- Certifique-se de que você tenha as permissões da Política do Serviço IAM Obrigatória.
- Recomendamos que você use um compartimento separado para a política do serviço WAF para que o gerenciamento seja mais fácil e seguro.
- Um domínio principal de aplicativo Web.
- Endereço IP do LBaaS ou outro ponto final público do aplicativo .
- Capacidade de atualizar registros de DNS para o domínio.
- O serviço WAF só suporta tráfego nas portas 80/443. No entanto, após as solicitações chegarem ao WAF nas portas 80/443, poderemos enviar as solicitações ao seu servidor de origem em qualquer porta necessária. Veja um exemplo a seguir:
Usuário Final → Porta 80/443 → WAF → Porta 443/8000/555/*** → Servidor de Origem
Certifique-se de que seu aplicativo não esteja em execução em outras portas.Observação
Você não pode usar o WAF para tráfego como SSH, FTP ou SMTP.
Além disso, se você planeja executar seu site em HTTPS/443, você precisa:
- Certificado público do nome de domínio totalmente qualificado (FQDN) do aplicativo.
- Chave privada correspondente do site.
- Certificado no formato PEM.
- Certificado de cadeia completa (Raiz, Intermediário, Servidor de Origem)Observação
Os certificados SSL só podem ser aplicados ao aplicativo principal da política.
Em geral, as alterações nas políticas de Borda levam de 10 a 30 minutos para serem propagadas, dependendo da alteração. Isso leva muito tempo para se propagar porque temos centenas de nós para os quais novas configurações são enviadas. As seguintes alterações de recurso geralmente se propagam de 10 a 15 minutos:
- Políticas de bots
- HIC (Desafio de Interação Humana)
- Desafio de Impressão Digital do Dispositivo
- Desafio de Javascript
- Desafio de CAPTCHA
- Lista Branca de Bom Bot
- Regras de Acesso
- Thread Intelligence
- Lista de IPs
- Lista de Permissões de IPs
Considere as seguintes informações ao trabalhar com políticas do Edge:
-
IPv6 não é suportado no momento.
- O serviço WAF inspeciona, mas não altera o corpo da resposta.
- O limite de armazenamento em cache é de 1 GB por política.
- Para limitações de upload de tamanho de arquivo, o limite é de 1 GB. Para limitações de tamanho de arquivo, considere:
- O limite não depende do tipo de upload, como imagens, vídeos, binários etc.
- O cabeçalho Content-Type não afeta o limite. Somente regras de proteção diferentes são aplicadas com base no cabeçalho Content-Type.
- Os uploads que usam chunked ou streams não afetam o limite. No modo de buffer, o limite é de 1 GB para uploads e downloads. No entanto, alguns outros modos, incluindo streaming do corpo da resposta, não consideram o limite de 1 GB.
- As conexões do serviço WAF raramente são canceladas. Um cancelamento pode ocorrer por causa de grandes uploads ou conexões lentas. Após o recarregamento do nó de borda, uma conexão poderá ser cancelada quando um processo de "limpeza" for executado, se o ciclo de solicitação ou resposta demorar muito.
- Ao usar o WAF com serviços de streaming de conteúdo, os serviços de streaming de conteúdo poderão ser afetados porque nossas regras de proteção exigem buffer do conteúdo HTML completo antes da análise. Todo o conteúdo precisa ser armazenado em buffer no nosso mecanismo principal de regras de proteção, o que pode levar a respostas lentas ou eventos que não exibem o conteúdo de streaming.
- Você pode criar ou restaurar backups de políticas do serviço WAF com a CLI do OCI. Extraia o arquivo JSON completo do aplicativo web e, em seguida, recrie-o em partes. Recomendamos que você recrie as definições principais primeiro e, em seguida, os desafios e recursos de segurança do aplicativo web.
- Você pode ativar WebSocket para um URL específico por meio da CLI usando o seguinte comando:
oci waas policy-config update --waas-policy-id ocid1.waaspolicy.oc1..[WAAS POLICY OCID] --websocket-path-prefixes '["/url/url/websocket"]'
Observação
O suporte ao WebSocket impede o processamento do WAF nos caminhos especificados. Isso significa que, se uma regra de WAF estiver ativada, ela não analisará as solicitações que vão para o URL excluído na configuração. No entanto, outras medidas, como Desafio de Interação Humana e Desafio JavaScript, podem ser ativadas para fornecer uma camada extra de segurança para o URL WebSocket. - A "chave" no Feed de Inteligência de Ameaças gerado é diferente para cada política de WAF.
-
É possível fazer alterações nas políticas de Borda somente quando o status da política for ATIVO.
Estimar custo para usar o WAF
- Acesse: https://www.oracle.com/cloud/cost-estimator.html.
- Clique em Pesquisar e procure Rede - WAF.
- Clique em Adicionar.
- Em Adicionar Configuração, clique no menu ao lado do nome do serviço, selecione Adicionar por SKU e informe a SKU.
- Clique em Adicionar.
No calculador de custos, "Instância" representa a política de WAF.
Configuração Inicial da Política do Serviço WAF
1. Criar uma Política de Borda para Rotear Tráfego pelo WAF
Para começar, crie uma política de borda para rotear o tráfego pelo WAF sem regras ativadas. A criação de uma política sem regras ativadas garante que não haja regressões fazendo com que haja um proxy reverso na frente do aplicativo.
-
Selecione a região e o compartimento em que a política deve ser mantida (não há restrição em torno do WAF coexistente com o Balanceador de Carga ou outros recursos de aplicativo no Oracle Cloud Infrastructure.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
-
Clique em Criar Política de WAF.
-
Na parte inferior da página Informações Básicas, verifique o seguinte:
Use o workflow legado aqui caso precise proteger seus aplicativos web que não fazem parte do OCI.
- Clique no link para exibir a caixa de diálogo Criar Política de Borda.
- Preencha as seguintes informações:
- Nome: Um nome exclusivo para a política.
- Domínios:
- Domínio Principal: O nome de domínio totalmente qualificado (FQDN) do aplicativo em que a política será aplicada.
- Domínios Adicionais: (Opcional) Subdomínios em que a política será aplicada.Observação
Os domínios curinga são aceitos, no entanto, apenas como domínios adicionais e somente por meio da API e da CLI.
- Origem WAF: O host ou endereço IP do aplicativo público voltado para a Internet que está sendo protegido.
- Nome da Origem: Um nome exclusivo para a origem.
- URI: Informe o ponto final de acesso público (IPv4 ou FQDN) do aplicativo.
- Porta HTTPS: A porta usada para conexão HTTP segura. A porta padrão é 443.
- Porta HTTP: A porta HTTP em que a origem faz listening. A porta padrão é 80.
- Cabeçalhos: (Opcional)
- Nome do Cabeçalho: O nome exibido no cabeçalho de solicitação HTTP e o valor do cabeçalho que pode ser adicionado e informado ao servidor de origem com todas as solicitações.
- Valor do Cabeçalho: Especifica os dados solicitados pelo cabeçalho.
- Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
- Clique em Criar Política de WAF. A visão geral da Política de WAF é exibida. Espera-se que a política fique ativa 15 minutos após a criação.
Consulte Gerenciando Políticas de Borda para obter mais informações.
2. Atualizar Timeout de Keep Alive de Origem
A política de borda requer que os timeouts de keep alive da sua origem (balanceador de carga ou servidor Web) sejam mantidos por 301 segundos ou mais, pois nosso valor de timeout de upstream é de 300 segundos. O segundo adicional é garantir que a conexão tenha tempo suficiente para renegociar quando nossos nós criarem conexões e assim evitar problemas de conectividade. Isso se aplica a chamadas de API, pois usamos nossa tecnologia de Multiplexação de Rede do OCI que ajuda a reduzir gargalos de rede e melhorar o desempenho otimizando o protocolo TCP.
Verificação HTTP:
- Faça a solicitação em relação ao servidor de origem ou upstream. Execute o seguinte comando:
time telnet www-origin.example.com 80
Exemplo de saída:Trying 12.34.56.78... Connected to lb65-soc-191485947.us-east-1.elb.amazonaws.com. Escape character is '^]'.
- Faça uma solicitação GET informando os seguintes cabeçalhos HTTP:
GET / HTTP/1.1 Host: www.example.com Connection: keep-Alive
- Pressione ENTER duas vezes e aguarde o fechamento ou desconexão da sessão.
Verificação HTTPS:
- Inicie a solicitação no Servidor de Origem ou Upstream. Execute o seguinte comando:
time openssl s_client -connect www-origin.example.com:443
- Faça uma solicitação GET informando os seguintes cabeçalhos HTTP:
GET / HTTP/1.1 Host: www.example.com Connection: keep-Alive
- Pressione ENTER duas vezes e aguarde o fechamento ou desconexão da sessão.
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
...
<!DOCTYPE html>
<html>
...
</html>
Connection closed by foreign host.
real 5m1.962s
user 0m0.011s
sys 0m0.009s
Consulte Gerenciamento de Origem para obter mais informações.
3. Fazer Upload do Seu Certificado e Chave
Esta etapa pressupõe que seu site seja executado em HTTPS/443.
4. Testar Seu Aplicativo (Antes de Implantá-lo na Produção)
Nesta etapa, você garante que as solicitações estão sendo roteadas para o WAF e que seu aplicativo continua funcionando normalmente com um proxy reverso na topologia.
- Abra um terminal.
Execute o seguinte comando para HTTP:
curl -lvk http://<OCI_WAF_CNAME> -H "Host: <WEBAPP_DOMAIN>" -so /dev/null
Execute o seguinte comando para HTTPS:
curl -lvk https://<OCI_WAF_CNAME> -H "Host: <WEBAPP_DOMAIN>" -so /dev/null
- Você também pode executar uma consulta DNS com relação a
<OCI_WAF_CNAME>
para sua política do serviço WAF e copiar um dos endereços IP da saída resultante.-
Para executar uma consulta de DNS, você pode usar um dos seguintes comandos:
dig <OCI_WAF_CNAME>
nslookup <OCI_WAF_CNAME>
- Copie qualquer um dos endereços IP da saída.
-
- Execute o seguinte comando. Substitua
<WEBAPP_DOMAIN>
pelo seu domínio de política do serviço WAF. Use a porta 80 ou 443. Substitua<OCI_NODE_IP>
pelo endereço IP deOCI_WAF_CNAME
.Query curl -vso/dev/null --resolve <WEBAPP_DOMAIN>:<PORT_80_OR_443>:<OCI_NODE_IP> https://<WEBAPP_DOMAIN>
Um 200, 301, 302 ou qualquer outro código de resposta HTTP esperado é retornado.
Observação
Se você receber um erro HTTP 5XX, certifique-se de ter atualizado sua definição de firewall para permitir nossos endereços IP. Se você ainda estiver tendo um problema, abra uma solicitação de serviço junto ao My Oracle Support. Na solicitação de suporte, forneça o OCID do compartimento, o OCID da política, a explicação sobre o problema que você está enfrentando, um arquivo HAR e o horário em que o problema começou.
Para testar seu aplicativo usando um arquivo hosts, você precisa de um endereço IP onde possa apontar seu aplicativo. De acordo com a política, você deve ver o CNAME que está designado a você. Você pode obter o endereço IP onde você pode apontar seu aplicativo.
- Abra um terminal.
- Execute uma consulta de DNS usando qualquer um dos seguintes comandos:
dig <OCI_WAF_CNAME>
nslookup <OCI_WAF_CNAME>
- Copie um dos três endereços IP de uma seção de Resposta de saída de comando dig e cole-o em um arquivo hosts com seu nome de domínio.
- Depois de salvar o arquivo hosts, abra o aplicativo em um browser e verifique se ele está funcionando conforme esperado.
Um 200, 301, 302 ou qualquer outro código de resposta HTTP esperado é retornado.
Observação
Se você receber um erro HTTP 5XX, certifique-se de ter atualizado sua definição de firewall para permitir nossos endereços IP. Se você ainda estiver tendo um problema, abra uma solicitação de serviço junto ao My Oracle Support. Na solicitação de suporte, forneça o OCID do compartimento, o OCID da política, a explicação sobre o problema que você está enfrentando, um arquivo HAR e o horário em que o problema começou.
echo | openssl s_client -showcerts -servername <Domain> -connect <Domain>:443 2>/dev/null | openssl x509 -inform pem -noout -text
..
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
Validity
Not Before: Jun 5 03:15:10 2020 GMT
Not After : Sep 3 03:15:10 2020 GMT
Subject: CN = www.example.com
Subject Public Key Info:
...
Você também pode verificar o certificado de sites de terceiros, como SSL Shooper ou SSL labs e executar a validação lá.
5. Atualizar o DNS para Ativar o Serviço WAF
Depois de confirmar que seu aplicativo Web funciona perfeitamente por meio do serviço WAF, agora você pode continuar atualizando o DNS globalmente.
Nesta etapa, você atualiza o CNAME de sua zona para rotear solicitações de clientes da Internet para o WAF. Use as instruções a seguir para fazer essa alteração de DNS na Console. Se sua configuração de DNS residir com outro provedor, consulte a documentação para obter instruções.
- Na guia Informações da Política da visão geral da Política de WAF, selecione o Destino do CNAME.
- Copie o destino do CNAME para a área de transferência.
- Abra o menu de navegação e clique em Rede. Em Gerenciamento de DNS, clique em Zonas.
-
Clique no Nome da Zona do domínio principal no qual você deseja atualizar o registro. Os detalhes da zona e uma lista de registros são exibidos.
- Marque a caixa de seleção do registro CNAME e selecione Editar no menu drop-down Ações.
- Na caixa de diálogo Editar Registro, atualize o campo Destino com o Destino do CNAME da área de transferência.
- Clique em Submeter.
- Clique em Publicar Alterações.
- Na caixa de diálogo de confirmação, clique em Publicar Alterações.
6. Proteger o Seu WAF
Para proteger seu WAF, você deve configurar seus servidores para aceitar o tráfego dos servidores WAF. Configure as suas regras de ingresso de origem para aceitar apenas conexões dos seguintes intervalos de CIDRs.
- 129.146.12.128/25
- 129.146.13.128/25
- 129.146.14.128/25
- 129.148.156.0/22
- 129.213.0.128/25
- 129.213.2.128/25
- 129.213.4.128/25
- 130.35.0.0/20
- 130.35.112.0/22
- 130.35.116.0/25
- 130.35.120.0/21
- 130.35.128.0/20
- 130.35.144.0/20
- 130.35.16.0/20
- 130.35.176.0/20
- 130.35.192.0/19
- 130.35.224.0/22
- 130.35.232.0/21
- 130.35.240.0/20
- 130.35.48.0/20
- 130.35.64.0/19
- 130.35.96.0/20
- 130.35.228.0/22
- 132.145.0.128/25
- 132.145.2.128/25
- 132.145.4.128/25
- 134.70.16.0/22
- 134.70.24.0/21
- 134.70.32.0/22
- 134.70.56.0/21
- 134.70.64.0/22
- 134.70.72.0/22
- 134.70.76.0/22
- 134.70.8.0/21
- 134.70.80.0/22
- 134.70.84.0/22
- 134.70.88.0/22
- 134.70.92.0/22
- 134.70.96.0/22
- 138.1.0.0/20
- 138.1.104.0/22
- 138.1.128.0/19
- 138.1.16.0/20
- 138.1.160.0/19
- 138.1.192.0/20
- 138.1.208.0/20
- 138.1.224.0/19
- 138.1.32.0/21
- 138.1.40.0/21
- 138.1.48.0/21
- 138.1.64.0/20
- 138.1.80.0/20
- 138.1.96.0/21
- 138.1.112.0/20
- 140.204.0.128/25
- 140.204.12.128/25
- 140.204.16.128/25
- 140.204.20.128/25
- 140.204.24.128/25
- 140.204.4.128/25
- 140.204.8.128/25
- 140.91.10.0/23
- 140.91.12.0/22
- 140.91.22.0/23
- 140.91.24.0/22
- 140.91.28.0/23
- 140.91.30.0/23
- 140.91.32.0/23
- 140.91.34.0/23
- 140.91.36.0/23
- 140.91.38.0/23
- 140.91.4.0/22
- 140.91.40.0/23
- 140.91.8.0/23
- 147.154.0.0/18
- 147.154.128.0/18
- 147.154.192.0/20
- 147.154.208.0/21
- 147.154.224.0/19
- 147.154.64.0/20
- 147.154.80.0/21
- 147.154.96.0/19
- 192.157.18.0/24
- 192.157.19.0/24
- 192.29.0.0/20
- 192.29.128.0/21
- 192.29.138.0/23
- 192.29.144.0/21
- 192.29.152.0/22
- 192.29.16.0/20
- 192.29.160.0/21
- 192.29.168.0/22
- 192.29.172.0/25
- 192.29.178.0/25
- 192.29.180.0/22
- 192.29.32.0/21
- 192.29.40.0/22
- 192.29.44.0/25
- 192.29.48.0/21
- 192.29.56.0/21
- 192.29.60.0/23
- 192.29.64.0/20
- 192.29.96.0/20
- 192.29.140.0/22
- 192.69.118.0/23
- 198.181.48.0/21
- 199.195.6.0/23
- 205.147.88.0/21
Ativar WAF para Detectar Regras Passivamente
As regras de proteção do serviço WAF adicionam ciclos de CPU extras a cada transação; portanto, recomendamos ativar somente as regras projetadas para a sua topologia de aplicativo Web. O serviço WAF oferece um conjunto de regras recomendadas que não prejudicam o desempenho do seu site e funcionam com a maior parte do aplicativo Web. O recurso de proteção de bots do serviço WAF torna seu aplicativo Web totalmente protegido contra ameaças.
Se precisar de ajuda para configurar o serviço WAF, você poderá abrir uma solicitação de serviço junto ao My Oracle Support solicitando ajuda para ajustar o OCI WAF. Um especialista irá guiá-lo durante o processo.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
- Clique no nome da Política de WAF cujas recomendações da regra de proteção você deseja exibir. A visão geral da Política de WAF é exibida.
- Clique em Regras de Proteção.
- Clique na guia Recomendações. Essa lista é gerada com base no tráfego que o WAF detecta fluindo pelo WAF. Se nada aparecer nesta lista, continue testando o FQDN do seu aplicativo e verifique novamente mais tarde.
- Selecione as regras de proteção com uma ação recomendada de Detectar e clique em Aceitar Recomendações.
Você pode usar o filtro Ação Recomendada para localizar uma recomendação da Detecção.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
- Clique no nome da Política de WAF para a qual você deseja configurar definições de regras. A visão geral da Política de WAF é exibida.
- Clique em Regras de Proteção.
- Utilize a tabela Regras de Proteção para localizar as regras que você deseja detectar.
- Informe os IDs de Regra localizados na tabela no filtro de ID de Regra. Neste exemplo, informe 941110 (Cross-Site Scripting) no filtro ID da Regra.
- Selecione Detectar no menu drop-down Ações para ver as regras de proteção filtradas.
Consulte Regras de Proteção do Serviço WAF para obter mais informações.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
- Clique no nome da Política de WAF para a qual você deseja configurar regras de acesso. A visão geral da Política de WAF é exibida.
- Clique em Controle de Acesso.
- Clique em Adicionar Regra de Acesso.
- Na caixa de diálogo Adicionar Regra de Acesso, informe o seguinte:
- Nome: DetectRequestsFromMySpecificBrowser
- Ação da Regra: Selecione Somente Detecção.
- Condições: Selecione O Endereço IP é no menu e, no campo Endereço IP, informe o endereço IP copiado para a área de transferência durante o teste do aplicativo.
- Clique em +Condição Adicional.
- Condição: Selecione O Agente do Usuário é no menu e insira, no campo Cabeçalho do Agente do Usuário, o valor do agente que você copiou para a área de transferência ao testar o aplicativo.
Observação
O Endereço IP e o Agente do Usuário no exemplo anterior devem corresponder na regra a ser acionada. Se outro Agente do Usuário for usado para testar seu aplicativo, a solicitação não será detectada.
- Clique em Adicionar Regra de Acesso.
- Clique em Alterações Não Publicadas.
- Clique em Publicar Tudo.
Consulte Controle de Acesso para Políticas de Borda para obter mais informações.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
- Clique no nome da Política de WAF cujas definições de Desafio de JavaScript você deseja configurar. A visão geral da Política de WAF é exibida.
- Clique em Gerenciamento de Bots.
- Clique em Editar Desafio de JavaScript.
- Na caixa de diálogo Desafio de JavaScript, marque a caixa de seleção Ativar Desafio de JavaScript.
-
Na seção Ação de Desafio do JavaScript, selecione Detectar Apenas.
-
Especifique as informações a seguir:
- Ativar Condições: Quando essa opção estiver ativada, as condições deverão ser correspondentes para que uma ação definida seja executada. Consulte Controle de Acesso para Políticas de Borda para obter mais informações sobre condições e regras.
- Limite de Ação (número d solicitações): Especifique o número de solicitações com falha antes de executar a ação. Por causa da solicitação assíncrona do browser durante o carregamento de páginas, é recomendável definir um limite de 10 aplicativos web com uso básico do ajax e 100 aplicativos com uso intenso do ajax.
- Tempo de Expiração da Ação (segundos): Informe o número de segundos entre os desafios para o mesmo endereço IP. Graças às mudanças nos endereços IP do cliente, é recomendável que o tempo de expiração seja definido como 120 segundos para aplicativos com usuários móveis e 3.600 segundos para aplicativos com usuários de desktop apenas.
- Seguir Redirecionamento: Quando essa opção está ativada, o redirecionamento de respostas da origem também será desafiado.
- Ativar Suporte a NAT: Quando essa opção é ativada, o usuário é identificado não apenas pelo endereço IP, mas também por um hash adicional exclusivo, o que impede o bloqueio de visitantes com endereços IP compartilhados. É recomendável que esse suporte a NAT seja desativado para aplicativos de carga alta (mais de 200 RPS).
- Clique em Salvar Alterações.
O Desafio de JavaScript é adicionado à lista de alterações a serem publicadas.
Consulte Gerenciamento de Bots para obter mais informações.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
- Clique no nome da Política de WAF cujas definições de Desafio de JavaScript você deseja configurar. A visão geral da Política de WAF é exibida.
- Clique em Gerenciamento de Bots.
- Clique na guia Desafio de Interação Humana.
- Clique em Editar Desafio de Interação Humana.
- Na caixa de diálogo Editar Desafio de Interação Humana, marque a caixa de seleção Ativar Desafio de Interação Humana.
- Na seção Ação de Interação Humana, selecione Detectar Apenas.
- Especifique as informações a seguir:
- Limite de Ação (número d solicitações): Especifique o número de solicitações com falha antes de executar a ação. Por causa da solicitação assíncrona do browser durante o carregamento de páginas, é recomendável definir um limite de 10 aplicativos web com uso básico do ajax e 100 aplicativos com uso intenso do ajax.
- Período de Expiração do Limite (segundos): O número de segundos antes do limite expirar.
- Tempo de Expiração da Ação (segundos): Informe o número de segundos entre os desafios para o mesmo endereço IP. Graças às mudanças nos endereços IP do cliente, é recomendável que o tempo de expiração seja definido como 120 segundos para aplicativos com usuários móveis e 3.600 segundos para aplicativos com usuários de desktop apenas.
- Limite de Interação (número de interações): Número de interações antes do limite expirar.
- Período de Gravação (segundos): O período para registrar os eventos do usuário.
- Suporte a NAT: Quando essa opção é ativada, o usuário é identificado não apenas pelo endereço IP, mas também por um hash adicional exclusivo, o que impede o bloqueio de visitantes com endereços IP compartilhados. É recomendável desativar o suporte para os aplicativos de carga alta (mais de 200RPS).
- Clique em Salvar Alterações.
O Desafio de Interação Humana é adicionado à lista de alterações a serem publicadas.
Consulte Gerenciamento de Bots para obter mais informações.
Consulte Gerenciando Políticas de Borda para obter a ordem de processamento do WAF.
Testar as Regras
Quando a política estiver ativa, você poderá testar se as regras são detectadas pelo WAF.
- Use o mesmo browser utilizado quando você testou seu aplicativo para fazer o seguinte:
- Solicite o FQDN do seu aplicativo com o seguinte parâmetro de consulta anexado:
?id=<script>alert("TEST");</script>
- Solicite o FQDN do seu aplicativo com o seguinte parâmetro de consulta anexado:
- Use outro browser na mesma máquina e repita as solicitações anteriores. Todas as solicitações devem passar pelo aplicativo.
Para verificar se o WAF está detectando solicitações identificadas como risco:
- Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
- Clique no nome da Política de WAF cujos logs você deseja exibir. A visão geral da Política de WAF é exibida.
- Clique em Logs. Os logs da política de WAF são exibidos.
- Marque a caixa de seleção Detectar no filtro Ações.
- Verifique se há duas entradas para a regra de proteção disparada pela solicitação Cross-Site Scripting e uma entrada para detectar o Agente do Usuário e o Endereço IP.