注意：

• 此教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
• 它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时，请将这些值替换为特定于云环境的那些值。

使用 OCI Web 应用防火墙保护 Oracle Integration 上的 Visual Builder Cloud Service 应用程序

简介

Web 应用防火墙可保护 Web 应用免受各种在线威胁，包括 SQL 注入、跨站点脚本 (XSS)、远程代码执行等。因此，建议使用 Oracle Cloud Infrastructure (OCI) Web 应用防火墙 (Web Application Firewall，WAF)（边缘或区域）保护 Visual Builder Cloud Service (VBCS) 应用。

目标

在本教程中，我们将介绍使用 Edge WAF 的两个方案：

1. 适用于单个 VBCS 应用的专用 WAF。

2. 适用于多个 VBCS 应用的集中式 WAF。

应用程序名称	自定义 URL
VBCS APP1	myapp1.mydomain.com
VBCS APP2	myapp2.mydomain.com

先决条件

继续执行 WAF 配置之前，请参见 Configure Custom App URL/Vanity Domain for VBCS App 并将虚域配置到 VBCS 应用。

方案 1：为单个 VBCS 应用程序设置专用 WAF

在此过程中，每个 VBCS 应用都使用自己的专用 WAF 进行设置。

任务 1.1：创建 WAF

1. 在 OCI 控制台上，导航到身份和安全、 Web 应用防火墙、策略、创建 WAF 策略。

   

2. 在 URI 中，输入从为 VBCS 应用程序配置定制应用程序 URL/Vanity 域的步骤“获取定制端点别名详细信息”获得的备用定制端点。

任务 1.2：上载证书

1. 导航到设置、常规设置、编辑。

   

2. 选择上载或粘贴证书和私有密钥。在第一个字段中，输入 CA 签名证书链。在第二个字段中输入私有密钥。

   

任务 1.3：发布更改

注：根据您的安全策略配置“访问规则”和“保护规则”，本教程中未介绍此内容。

任务 1.4：创建 DNS 记录

1. 将定制 APP URL 指向 WAF CNAME 目标。从 WAF 页面获取 CNAME 目标，如下所示：

   

2. 按如下方式创建 CNAME DNS 记录：

   定制主机名	WAF CNAME 目标
   myapp1.mydomain.com	<xxxyyyy.o.waas.oci.oraclecloud.net>

方案 2：为多个 VBCS 应用程序设置集中 WAF

单个 WAF 和负载平衡器可用于保护多个 VBCS 应用。如果多个 VBCS 应用的 WAF 策略相同，则首选设置。

任务 2.1：创建 WAF

1. 在 OCI 控制台上，导航到身份和安全、 Web 应用防火墙、策略、创建 WAF 策略。

   

2. 作为其他域更新 app2、app3 的定制 URL。

3. 在 URI 字段中，输入 OCI 负载平衡器公共 IP。

任务 2.2：上载证书

1. 导航到设置、常规设置、编辑。

   

   

   注：对多个应用程序使用单个 WAF 时，请确保请求涵盖所有应用程序域名的 SAN 证书。

任务 2.3：创建 DNS 记录

1. 指向 WAF CNAME 目标的点自定义 APP URL。从 WAF 页面获取 CNAME 目标，如下所示：

   

2. 按如下方式创建 CNAME DNS 记录：

   定制主机名	WAF CNAME 目标
   myapp1.mydomain.com	<xxxyyyy.o.waas.oci.oraclecloud.net>
   myapp2.mydomain.com	<xxxyyyy.o.waas.oci.oraclecloud.net>

防止 WAF 绕过

Oracle Integration 中的“网络访问”选项提供了允许的列表，可防止用户访问直接 URL 和绕过 WAF。

有关 WAF IP 范围列表，请参见 WAF IP 范围。

注：对于方案 2，请确保只能通过更新其 NSG/SecList 从 WAF IP 范围访问负载平衡器。

小结

虚名域或定制 URL 为客户提供了宝贵的机会，使他们能够增强在 VBCS 实例上托管的应用。通过选择个性化域，客户可以强化品牌身份，提升专业在线形象，为用户打造更难忘的体验。利用虚名域/定制 URL，客户可以保护其应用底层基础设施，防止直接接触到实际主机名。

此外，客户可以在应用之前实施 Web 应用防火墙 (Web Application Firewall，WAF)，从而进一步采取安全措施。WAF 是一个主动防御机制，可以分析和过滤传入的 Web 流量，从而降低恶意攻击的风险，并确保为最终用户提供更安全的浏览体验。

总之，Vanity Domains/Custom URL 的组合以及 WAF 的实施加强了 VBCS 实例上托管的应用的品牌和安全方面，为企业提供了全面而强大的解决方案来在数字环境中蓬勃发展。

相关链接

• Visual Builder - 指定定制 URL

• 更新 Oracle Integration 实例

• Oracle Integration - 为实例配置定制端点

• WAF IP 范围

确认

• 作者：Anil Guttala（Oracle Cloud Infrastructure 高级云工程师）

更多学习资源

探索 docs.oracle.com/learn 上的其他实验室，或者访问 Oracle Learning YouTube 频道上的更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Protect Visual Builder Cloud Service Apps on Oracle Integration with OCI Web Application Firewall

F87546-04

October 2023

Copyright © 2023, Oracle and/or its affiliates.