Criando uma Política do Serviço Web Application Firewall
Crie uma política de firewall de aplicativo web (WAF) que inclua regras de acesso, regras de limitação de taxa e regras de proteção.
Na página da lista Políticas, selecione Criar política de WAF. Se precisar de ajuda para localizar a página de lista ou a política, consulte Listando Políticas do Serviço Web Application Firewall.
1. Informações básicas
- Digite um nome para a política de WAF ou use o nome padrão.
- Selecione o compartimento para conter a política de WAF.
- Selecione a seta Ações para exibir as ações a serem adicionadas à política de WAF. As seguintes ações pré-configuradas estão associadas à política de WAF por padrão:
- Ação de Verificação Pré-configurada: A ação não interrompe a execução de regras. Em vez disso, a ação gera uma mensagem de log que documenta o resultado da execução das regras.
- Ação de Permissão Pré-configurada: A ação, ao corresponder a regra, ignora todas as regras restantes no módulo atual.
- Ação do Código de Resposta 401 Pré-configurada: Retorna uma resposta HTTP definida. A configuração do código de resposta ( cabeçalhos e corpo da página de resposta) determina a resposta HTTP que é retornada quando esta ação é executada.
- Para adicionar outra ação à política, selecione Adicionar ação e, em seguida, conclua as opções a seguir no painel Adicionar ações. Para obter mais informações, consulte Ações para Firewalls de Aplicativos Web.
-
Nome: Informe o nome da ação.
-
Tipo: Especifique o tipo de ação:
-
Verificar: Não impede a execução de regras. Em vez disso, essa opção gera uma mensagem de log documentando o resultado da regra.
Permitir: Ignora todas as regras restantes no módulo atual.
Retornar resposta HTTP: Retorna uma resposta HTTP definida.
Se você selecionar esse tipo, forneça os valores a seguir.
-
-
Código de resposta: Selecione a resposta HTTP.
- Cabeçalhos: Especifique informações opcionais do cabeçalho:
-
Nome do cabeçalho: Informe o nome do cabeçalho.
-
Valor do cabeçalho: Informe o valor associado do cabeçalho.
-
Selecione + Outro cabeçalho para exibir outra linha de cabeçalho na qual você pode informar um par nome/valor de cabeçalho. Selecione o X para excluir a linha de cabeçalho associada.
-
Corpo da página de resposta: Fornece detalhes sobre um erro, incluindo a causa e instruções adicionais, se necessário.
Informe o corpo de resposta HTTP, por exemplo, uma resposta de erro JSON:{"code":"403","message":"Forbidden"}
Você pode ativar o Suporte a texto dinâmico para adicionar variáveis no corpo da página. A seguinte variável é suportada:
RequestID
O ID da solicitação pode ajudá-lo a rastrear e gerenciar uma solicitação fornecendo um identificador de solicitação exclusivo exposto nos cabeçalhos de solicitação e resposta HTTP.
Quando o ID da solicitação é ativado, o nome do cabeçalho padrão X-Request-ID é incluído no cabeçalho da solicitação HTTP do balanceador de carga para as respostas do cabeçalho backend e HTTP.
O exemplo a seguir fornece um corpo de resposta HTTP com suporte a texto dinâmico ativado:
{"code":"403","message":"Forbidden","RequestId":"${http.request.id}"}
-
-
Selecione Adicionar ação.
-
Mostrar tag: (Opcional) Adicione uma ou mais tags à política de WAF.
Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
-
Para trabalhar com as opções de Política de Borda legadas, selecione o link do workflow legado na parte inferior da página. Para obter mais informações, consulte Políticas de Borda.
Selecione Próximo.
2. Controle de acesso
(Opcional) Use as opções de Controle de acesso para definir ações explícitas para solicitações e respostas que atendam a várias condições. Quando você ativa o controle de acesso, uma lista de regras de acesso associadas ao controle de solicitação é exibida. Você pode adicionar, alterar, editar ou excluir regras. Para obter mais informações, consulte Controles de Solicitação para uma Política do Serviço Web Application Firewall.
- Selecione Ativar controle de acesso.
- Em Controle de solicitação, selecione Adicionar regra de acesso e forneça as seguintes informações para definir a regra:
- Nome: Informe um nome para a regra de acesso.
- Condições: Especifique as condições de pré-requisito que devem ser atendidas para que a ação da regra ocorra. Consulte Noções Básicas sobre Condições.
- Ação da regra: Selecione uma regra existente a ser seguida quando as condições anteriores forem atendidas ou selecione Criar nova ação para adicionar uma ação. Para obter uma descrição das regras pré-configuradas e instruções para adicionar regras, consulte a seção anterior, "Configurar informações básicas".
- Selecione Adicionar regra de acesso.
- Em Ação padrão, na lista Nome da ação, selecione a ação a ser seguida quando as solicitações não corresponderem a nenhum grupo de regras definido para a política.
- Selecione Mostrar opções de controle de resposta para exibir a seção Controle de resposta e a lista Regras de acesso. A lista contém regras de acesso associadas ao controle de resposta. Adicione e gerencie regras de acesso e ações para controles de resposta da mesma forma que para controles de solicitação. Para obter mais informações, consulte Controle de Resposta para uma Política do Serviço Web Application Firewall.
Selecione Próximo.
3. Limite de taxa
- Selecione Ativar para configurar regras de limitação de taxa.
- Em Regras de limitação de taxa, selecione Adicionar regra de limitação de taxa e conclua as opções da seguinte forma:
-
Nome: Insira um nome para a regra de limitação de taxa.
-
Condições: Especifique as condições de pré-requisito que precisam ser atendidas para que a ação da regra ocorra. Consulte Noções Básicas sobre Condições.
- Configuração de limitação de taxa: Configure o número máximo de solicitações que podem ser feitas de um endereço IP exclusivo e quanto tempo pode durar a solicitação. As opções são as seguintes:
- Limite de solicitações: Informe o número máximo de solicitações que um endereço IP exclusivo pode fazer durante o valor de tempo alocado na caixa Período em segundos.
- Período em segundos: Informe o número de segundos em que o número máximo de solicitações pode ser feito de cada endereço IP exclusivo, conforme especificado na caixa Limite de solicitações.
- A duração da ação em segundos: Informe a duração em segundos que a ação será aplicada quando o limite de solicitação for atingido.
- Ação da regra: Selecione uma regra existente a ser seguida quando as condições anteriores forem atendidas ou selecione Criar nova ação para adicionar uma ação. Para obter uma descrição das regras pré-configuradas e instruções para adicionar regras, consulte a seção anterior sobre informações básicas.
Para obter mais informações, consulte Ações para Firewalls de Aplicativos Web.
-
Selecione Próximo.
4. Proteções
(Opcional) Use essas opções para aplicar recursos de proteção de solicitação gerenciados pela Oracle para capturar tráfego malicioso. Aplique regras de proteção conforme necessário. Para obter mais informações, consulte Proteções do Serviço Web Application Firewall.
- Selecione Ativar configuração de regras de proteção.
- Em Regras de proteção de solicitação, selecione Adicionar regra de proteção de solicitação e conclua as opções da seguinte forma:
-
Nome: Digite um nome para a regra de proteção.
- Condições: Especifique as condições de pré-requisito que devem ser atendidas para que a ação da regra possa ocorrer. Consulte Noções Básicas de Condições.
- Ação da regra: Selecione uma regra existente a ser seguida quando as condições anteriores forem atendidas ou selecione Criar nova ação para adicionar uma ação. Para obter uma descrição das regras pré-configuradas e instruções para adicionar regras, consulte a seção anterior, "Configurar informações básicas".
-
Inspeção do corpo: Selecione Ativar inspeção do corpo para permitir que o corpo da solicitação HTTP seja inspecionado para garantir que o conteúdo do corpo da solicitação esteja em conformidade com todos os recursos de proteção especificados na regra de proteção. Para obter mais informações, consulte Inspeção do Corpo da Solicitação HTTP.
- Recursos de proteção: Lista os recursos de proteção designados à regra de proteção. Selecione Escolher recursos de proteção para abrir a caixa de diálogo Escolher recursos de proteção. Navegue pelos recursos de proteção disponíveis e designe um ou mais à regra de proteção.
Você pode filtrar os recursos e selecionar a seta "para baixo" na extremidade direita de cada recurso para exibir seu histórico de versões. Selecione os recursos de proteção que você deseja adicionar à regra de proteção e, em seguida, selecione Escolher recursos de proteção.
Para obter mais informações, consulte Proteções do Serviço Web Application Firewall.
- Ações: Você pode aplicar mais ações a um ou mais recursos de proteção selecionados. Selecione os recursos de proteção que deseja afetar e, em seguida, selecione um dos comandos a seguir no menu Ações:
- Exibir e editar definições dos recursos de proteção: Abre a caixa de diálogo Exibir e editar definições do recurso de proteção, na qual você pode editar as definições do recurso de proteção.Observação
Esta definição é global. As definições configuradas nesta caixa de diálogo se aplicam a todos os recursos de proteção associados à regra de proteção, independentemente de serem selecionadas na lista de recursos de proteção. - Alterar ação: Abre a caixa de diálogo Alterar ação, na qual você pode atualizar a ação executada pelos recursos de proteção quando acionada.
- Excluir: Remove os recursos de proteção da regra de proteção.
- Exibir e editar definições dos recursos de proteção: Abre a caixa de diálogo Exibir e editar definições do recurso de proteção, na qual você pode editar as definições do recurso de proteção.
-
- Selecione Add request protection rule.
- Selecione Mostrar regras de proteção de resposta para exibir uma lista de regras de proteção de resposta.
- Para remover uma regra, selecione-a e, em seguida, Excluir.
- Para adicionar uma regra, selecione Adicionar regra de proteção de resposta.
- Adicione e gerencie regras de acesso e ações para proteção de resposta da mesma forma que para as proteções de solicitação descritas anteriormente nesta seção.
- Selecione uma ou mais regras de proteção de solicitação e, em seguida, selecione o menu Ações para aplicar uma ação a todas as regras selecionadas. Você pode selecionar uma das seguintes opções:
- Exibir e editar definições de regras: Abre a caixa de diálogo Exibir e editar definições de regras. Você pode aplicar as seguintes definições a qualquer regra de proteção de solicitação que tenha a inspeção do corpo HTTP ativada:
- Número máximo de bytes permitidos: Especifique o número de bytes em cada corpo de mensagem HTTP submetido à inspeção. O valor varia de 0 a 8192.
- Ação tomada se o limite tiver sido excedido: Selecione uma ação na lista que ocorrerá se o tamanho do corpo da mensagem exceder o número máximo de bytes especificado permitido.
-
Habilitar inspeção do corpo: habilita a inspeção do corpo da mensagem HTTP.
-
Desativar inspeção do corpo: Desativa a inspeção do corpo da mensagem HTTP.
-
Excluir: Remove as regras de proteção de solicitação selecionadas da política.
- Exibir e editar definições de regras: Abre a caixa de diálogo Exibir e editar definições de regras. Você pode aplicar as seguintes definições a qualquer regra de proteção de solicitação que tenha a inspeção do corpo HTTP ativada:
Selecione Próximo.
5. Selecionar ponto de imposição
Use estas opções para impor a segurança do firewall de aplicativo web no balanceador de carga. Para obter mais informações, consulte Firewalls para Políticas do Serviço Web Application Firewall.
Em Adicionar firewalls, selecione um balanceador de carga contido no compartimento atual. Selecione Alterar Compartimento para selecionar balanceadores de carga de outro compartimento.
O balanceador de carga selecionado tem a segurança de firewall aplicada.
Selecione Próximo.
6. Verificar e criar
Verifique as definições de política de WAF antes de concluir o processo de criação. Cada seção corresponde às opções que foram configuradas para a política.
-
Verifique a precisão e a conclusão de cada seção. Selecione Editar em qualquer seção que queira fazer alterações.
-
Selecione Criar política de WAF.
Use o comando oci waf web-app-firewall-policy create e os parâmetros necessários para criar uma política de firewall de aplicativo web:
oci waf web-app-firewall-policy create --compartment-id compartment_ocid [OPTIONS]
Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI..
Execute a operação CreateWebAppFirewallPolicy para criar uma política de firewall de aplicativo web.