Introdução às Políticas do Web Application Firewall
Comece a criar e gerenciar uma política de firewall de aplicativo web.
Antes de Começar
Consulte a Política do Serviço IAM Obrigatória para obter conceitos importantes sobre o firewall de aplicativo web.
Para começar a usar o serviço WAF, você deve ter o seguinte disponível:
-
Certifique-se de que você tenha as permissões da Política do Serviço IAM Obrigatória.
-
Recomendamos que você use um compartimento separado para sua política de firewall de aplicativo web para que o gerenciamento seja mais fácil e seguro. Consulte Gerenciando Compartimentos para obter mais informações.
-
Um balanceador de carga com um listener HTTP.
É possível fazer alterações na política de firewall do aplicativo Web somente quando o status da política for ATIVO.
Maneiras de Acessar o Serviço Web Application Firewall
Você pode acessar o OCI (Oracle Cloud Infrastructure) usando a Console (uma interface baseada em browser), a API REST ou a CLI do OCI. Instruções para usar a Console, API e CLI estão incluídas em tópicos ao longo deste guia. Para ver uma lista de SDKs disponíveis, consulte SDKs (Software Development Kits) e a CLI (Command Line Interface).
Para acessar a Console, você deve usar um navegador suportado. Para ir para a página de acesso da Console, abra o menu de navegação na parte superior desta página e clique em Console de Infraestrutura. Você é solicitado a digitar seu tenant na nuvem, seu nome de usuário e sua senha.
Recursos e Limites do Serviço Web Application Firewall
O serviço Web Application Firewall (WAF) tem os seguintes recursos e limites:
-
Políticas do serviço Web Application Firewall: 100 por tenant.
-
Listas de endereços de rede: 100 por tenant.
Para obter uma lista de limites aplicáveis e instruções para solicitação de um aumento de limite, consulte Limites do Serviço. Para definir limites específicos de compartimentos em um recurso ou família de recursos, os administradores podem usar cotas de compartimentos.Observação
O serviço WAF permite um tempo total de execução de 10 minutos para processos de upload e download por meio do firewall de aplicativo web.
- A política de WAF não é suportada pelo Balanceador de Carga de Rede. A política de WAF é compatível apenas com o Balanceador de Carga.
- O Listener TCP não é compatível com a política de WAF. A política de WAF suporta apenas listeners HTTP.
-
A política de WAF suporta IPv6. A política de WAF é anexada diretamente ao balanceador de carga, no qual você pode selecionar Suporte a IPv6.
Depois de criar um balanceador de carga e escolher o tipo, selecione Ativar Designação de Endereço IPv6.
Quando você cria um balanceador de carga, pode optar por usar uma configuração de pilha dupla IPv4/IPv6. Quando você escolhe a opção IPv6, o serviço Load Balancer designa um endereço IPv4 e IPv6 ao balanceador de carga. O balanceador de carga recebe o tráfego do cliente enviado para o endereço IPv6 designado. O balanceador de carga usa apenas endereços IPv4 para comunicação com os servidores backend. Não existe comunicação IPv6 entre o balanceador de carga e os servidores de back-end.Observação
A designação de endereço IPv6 só ocorre durante a criação do balanceador de carga. Você não pode designar um endereço IPv6 a um balanceador de carga existente. - As políticas de WAF são apenas regionais. Uma política de WAF não pode ser usada em várias regiões simultaneamente.
- Uma única política pode ser usada com vários balanceadores de carga. Você pode usar uma política com vários balanceadores de carga desde que todos os balanceadores de carga estejam na mesma região da política.
- As regras de política do serviço WAF são executadas na seguinte ordem:
- WAF requestAccessControl
- WAF requestRateLimiting
- WAF requestProtection
- requestProtection regra 1
- modo CHECK da inspeção do cabeçalho protectionCapabilities
- modo BLOCK da inspeção do cabeçalho protectionCapabilities
- modo CHECK da inspeção do corpo protectionCapabilities
- modo BLOCK da inspeção do corpo protectionCapabilities
- requestProtection regra 2
- requestProtection regra N
- requestProtection regra 1
- <solicitação encaminhada ao backend e resposta recebida>
- WAF responseAccessControl
- WAF responseProtection
- responseProtection regra 1
- modo CHECK da inspeção do cabeçalho protectionCapabilities
- modo BLOCK da inspeção do cabeçalho protectionCapabilities
- modo CHECK da inspeção do corpo protectionCapabilities
- modo BLOCK da inspeção do corpo protectionCapabilities
- responseProtection regra 2
- responseProtection regra N
- responseProtection regra 1
Política do Serviço IAM Obrigatória
Para usar o Oracle Cloud Infrastructure, você deve receber acesso em uma política para waas-policy. Se você tentar executar uma ação e receber uma mensagem de que não tem permissão ou que não está autorizado, confirme com o seu administrador o tipo de acesso concedido e o compartimento no qual você deve trabalhar.
Lista de permissões obrigatórias:
Allow group-id to manage waas-family in compartment_ocid
Allow group-id to manage web-app-firewall in compartment_ocid
Allow group-id to manage waf-policy in compartment_ocid
Allow group-id to use waf-network-address-list in compartment_ocidExemplos de política:
- Para permitir que um grupo de usuários específico gerencie firewalls de aplicativos web em sua tenancy:
Allow group-id to manage web-app-firewall in tenancy - Para permitir que um grupo de usuários específico inspecione políticas de firewall de aplicativo web em um compartimento específico:
Allow group-id to inspect waf-policy in compartment_ocid - Para permitir que um grupo de usuários específico use listas de endereços de rede de firewall de aplicativo web em sua tenancy:
Allow group-id to use waf-network-address-list in tenancy
Se você iniciante em matéria de políticas, consulte Conceitos Básicos de Política and Políticas Comuns. Para obter mais detalhes sobre políticas para o WAF, consulte Detalhes do serviço WAF.