In diesem Abschnitt werden alle verfügbaren Einstellungen für den aktuellen WAF-Regelsatz in drei Registerkarten angezeigt. Globale, Regeln, und Farms. Beachten Sie, dass Änderungen in diesem Abschnitt durch Klicken auf übernommen werden müssen Senden .
Globale Einstellungen WAF-Regelsatz
Diese Konfiguration verwaltet das Verhalten aller im Set enthaltenen Regeln.
Name: sollten selbsterklärend sein, um leicht zu finden und wiederzuerkennen. Der Wert dieses Feldes wird beim Erstellen des Sets festgelegt und kann nicht geändert werden.
Anfragetext prüfen: ist ein Flag, das gesetzt werden soll, wenn der Hauptteil der HTTP-Anforderungen analysiert wird. Wenn dieses Flag deaktiviert ist, wird der Body übersprungen und Regelübereinstimmungen mit den Parametern des Request-Body werden nicht verarbeitet.
Körperlimit anfordern: ist die maximale Anzahl von Bytes des Anforderungshauptteils, die gespeichert werden, um die Hauptteilanforderung zu überprüfen. Wenn dieser Parameter den Wert 0 hat, speichert die WAF die Größe der Inhaltslänge vollständig. Es wird empfohlen, einen Grenzwert festzulegen.
Anfragetext prüfen: ist ein Flag, das gesetzt werden soll, wenn der Hauptteil der HTTP-Antwort analysiert wird. Wenn dieses Flag deaktiviert ist, wird der Textkörper übersprungen und Regelübereinstimmungen mit den Antwortkörperparametern werden nicht verarbeitet. Die Antwort größer als 524288 (512KB) wird ignoriert.
Standardaktion: Dieses Auswahlfeld wird als Standardauflösung verwendet, wenn in einer Regel keine Auflösung angegeben ist und alle Übereinstimmungen der Regel erfolgreich sind. Die möglichen Aktionen sind:
- Erlauben. Es werden keine weiteren Regeln (für die aktuelle HTTP-Transaktion) ausgewertet, wenn eine Regel mit dieser Aktion übereinstimmt.
- Passieren. WAF wertet die nächste Regel weiter aus, ohne die HTTP-Transaktion zu unterbrechen.
- Ablehnen. Beenden Sie die aktuelle HTTP-Transaktion. Keine Regeln mehr auswerten. Wenn die Regel in Phase 1 oder 2 (Analysieren der Anforderung) übereinstimmt, wird die Anforderung nicht an das Backend übermittelt. Wenn die Regel in Phase 3 oder 4 (Analyse der Antwort) übereinstimmt, wird die Antwort nicht an den Client übermittelt.
- Umleiten. Die HTTP-Transaktion wird angehalten und eine HTTP-Umleitung an den Client gesendet.
URL umleiten: Dies ist die URL, die an den Client gesendet wird, wenn eine Regel übereinstimmt und die Umleitungsauflösung eingerichtet ist.
Standardphase: Dieses Auswahlfeld wird als Standardphase verwendet, wenn in einer Regel keine Phase angegeben ist. Eine Phase ist ein HTTP-Schritt, in dem eine WAF-Regel verknüpft werden kann. Die definierten Phasen sind:
- Anforderungsheader werden empfangen. Die Regel wird ausgeführt, sobald alle Anforderungsheader vom Client vom Load Balancer gelesen wurden.
- Der Anfragetext wurde empfangen. Die Regel wird ausgeführt, wenn der gesamte Anforderungshauptteil des Clients im Lastenausgleich zwischengespeichert ist.
- Antwortleser werden empfangen. Die Regel wird ausgeführt, sobald alle Antwortheader vom Server vom Load Balancer gelesen wurden.
- Antworttext wird empfangen. Die Regel wird ausgeführt, wenn der Load Balancer den vollständigen Antworttext vom Server liest.
- Vorher als loggen. Die Regel wird ausgeführt, wenn der WAF-Prozess die Protokollierungsaufgabe beendet.
Standardprotokoll: Dies ist eine Protokollstandardaktion. Dieser Wert wird verwendet, wenn in den Regeleinstellungen keine Aktion für Protokolle angegeben ist.
Nur Protokollierung: Wenn dieses Kontrollkästchen aktiviert ist, wird der Auflösungsparameter der Regeln in der Gruppe niemals ausgeführt. Dieser Arbeitsmodus ist nur verfügbar, wenn das Gerät läuft.
Regeln deaktivieren
Diese Tabellen ermöglichen das Deaktivieren von Regeln des Satzes, ohne diese zu ändern.
Regeln aktivieren. Dies ist die Liste der Regeln, die derzeit im Satz aktiviert sind. Die Regeln sind durch ihre gekennzeichnet Regel-ID und sein Beschreibung Parameter.
Regeln aktivieren. Dies ist die Liste der Regeln, die derzeit in der Gruppe deaktiviert sind.
Liste der WAF-Regeln
Der Regeln Abschnitt ermöglicht das Erstellen und Ändern von WAF-Regeln, die HTTP-Angriffe erkennen und vor ihnen schützen.
Diese Regeln sind Anweisungen, die nacheinander in derselben Reihenfolge ausgewertet werden, in der sie auf diesem Bildschirm angezeigt werden. Wenn es zum Sortieren der Regeln erforderlich ist, aktivieren Sie die Schaltfläche Sortieren und per Drag & Drop in die gewünschte Position ziehen.
Die Regeln mögliche Parameter sind:
ID: Es ist eine Kennung, um die Regel innerhalb des Regelsatzes zu identifizieren. Diese Kennung entspricht der Regelposition in der Menge.
Regel-ID: Es ist eine eindeutige Kennung der Regel. Es ist nicht möglich, eine Verbindung zu einer Farm zum Waf-Set herzustellen, die zwei Regeln mit derselben Regel-ID enthält.
Beschreibung: Es ist eine beschreibende Nachricht, um die Regel zu identifizieren. Diese Nachricht wird bei einer erfolgreichen Übereinstimmung protokolliert.
Melden Sie sich: Wenn dieser Parameter aktiviert ist, wird die Regel protokolliert, wenn die erste Übereinstimmungsbedingung erfüllt ist.
Phase: Die Phase stellt den Schritt der HTTP-Anforderung dar, in dem eine Regel ausgeführt wird. Die möglichen Phasen sind:
- Anforderungsheader werden empfangen. Die Regel wird ausgeführt, sobald alle Anforderungsheader vom Client vom Load Balancer gelesen wurden.
- Der Anfragetext wurde empfangen. Die Regel wird ausgeführt, wenn der gesamte Anforderungshauptteil des Clients im Lastenausgleich zwischengespeichert ist.
- Antwortleser werden empfangen. Die Regel wird ausgeführt, sobald alle Antwortheader vom Server vom Load Balancer gelesen wurden.
- Antworttext wird empfangen. Die Regel wird ausgeführt, wenn der Load Balancer den vollständigen Antworttext vom Server liest.
- Vorher als loggen. Die Regel wird ausgeführt, wenn der WAF-Prozess die Protokollierungsaufgabe beendet.
URL umleiten: Dies ist die URL, unter der der Client umgeleitet wird, wenn die Regel eine Umleitung ausführt. Dieser Parameter wird angezeigt, wenn im Auflösungsfeld eine Umleitung ausgewählt wird.
Auflösung: Dieses Auswahlfeld ist die Aktion, die ausgeführt werden soll, wenn alle Übereinstimmungsbedingungen erfüllt sind.
- Erlauben. Es werden keine weiteren Regeln (für die aktuelle HTTP-Transaktion) ausgewertet, wenn eine Regel mit dieser Aktion übereinstimmt.
- Passieren. WAF wertet die nächste Regel weiter aus, ohne die HTTP-Transaktion zu unterbrechen.
- Ablehnen. Beenden Sie die aktuelle HTTP-Transaktion. Keine Regeln mehr auswerten. Wenn die Regel in Phase 1 oder 2 (Analysieren der Anforderung) übereinstimmt, wird die Anforderung nicht an das Backend übermittelt. Wenn die Regel in Phase 3 oder 4 (Analyse der Antwort) übereinstimmt, wird die Antwort nicht an den Client übermittelt.
- Umleiten. Die HTTP-Transaktion wird angehalten und eine HTTP-Umleitung an den Client gesendet.
Überspringen: Wenn alle Übereinstimmungen erzielt wurden, überspringt die Regel die in diesem Feld angegebene Anzahl von Regeln.
Überspringen nach: Wenn alle Übereinstimmungen erreicht sind, springt die Regel zu einer anderen Firewall-Position. Die Regel kann zu einer 'Marke' oder zu einer anderen Regel-ID springen. Die Regel-ID wird nach einem Sprung ausgeführt und befindet sich in derselben Phase wie die aktuelle Regel.
Ausführung: Dies ist der Pfad zu einem LUA-Skript. Das Skript muss zuvor in den Load Balancer hochgeladen worden sein. Es wird ausgeführt, wenn die erste Übereinstimmungsbedingung erfüllt ist.
Bearbeiten einer WAF-Regel in RAW
Wenn das Regelformular nicht ausreicht, um die de WAF-Regel zu parametrisieren, und der Administrator mit der SecLang-Syntax vertraut ist, können über die Bearbeitungsoption Regeln oder Regelstapel erstellt werden. Dieses Feld akzeptiert alle Anweisungen, wenn die Anweisung und der Parameter von der SecLang-Syntax unterstützt werden. Das SecLang Parameter, die nicht im Formular ausgedrückt werden, werden nicht darin angezeigt, aber sie werden im Bearbeitungsformular angezeigt und in der Laufzeit verarbeitet.
Erstellen einer WAF-Regel
Wenn eine neue Regel hinzugefügt wird, wird sie an die anderen Regeln der Sätze angehängt. Um eine neue Regel zu erstellen, gibt es drei Möglichkeiten, eine neue Regel zu erstellen.
Mark: Es setzt eine Firewall-Marke. Diese Markierungen sind nützlich, um zu springen, sobald eine Übereinstimmungsbedingung erreicht ist. Der erwartete Parameter ist der Name zur Kennzeichnung der Marke.
Aktion: Es wird eine Grundregel unter Verwendung eines Formulars erstellt. Die Parameter des Formulars sind die gleichen wie in der Liste der WAF-Regeln Sektion. Wenn die Ausführung der Regel bedingt sein muss, klicken Sie auf ZUSTAND HINZUFÜGEN Schaltfläche, um die Ausführungsbedingungen festzulegen.
Benutzerdefiniert: Dieses Formular akzeptiert Regeln (und eine Reihe von Regeln) der SecLang-Syntax. Weitere Informationen zur SecLang-Syntax finden Sie unter Dokumentation zum libmodsecurity-Projekt.
Liste der Bedingungen
Diese Tabelle zeigt eine Liste der Bedingungen, unter denen das mit HTTP analysierte Paket der Regel entsprechen muss. Alle diese Übereinstimmungen werden in der in der Regel definierten Phase ausgeführt. Die Übereinstimmungen werden nacheinander überprüft und die Regel wird angewendet, wenn alle erfolgreich ausgeführt wurden.
Um die Übereinstimmung zu bewerten, führt die WAF eine Operation (Parameteroperator und Operation) für eine Variablenliste aus. Wenn einige Variablen der Liste mit der Operation übereinstimmen, wird die Übereinstimmung als erfolgreich angesehen. In der folgenden Abbildung wird beispielsweise in der Liste der vom Client gesendeten Anforderungsheader nach den Header-BILDERN gesucht. Zuerst dekodiert es in 64 Basen jeden Header und als nächstes konvertiert es die Header in Kleinbuchstaben. Wenn die Transformation der Variablen abgeschlossen ist, wird ein regulärer Ausdruck angewendet, der in der Liste der transformierten Variablen nach der Zeichenfolge "images" sucht. Das multi mach Die Option versucht eine Übereinstimmung für jede Transformationsoperation (nach der 64-Basisdecodierung und nach der Konvertierung in Kleinbuchstaben).
Bedingungen schaffen
Das Match bildet eine Bedingung, die erfüllt sein muss, um die WAF-Regel auszuführen. Um die Übereinstimmung zu bewerten, führt die WAF eine Operation (Parameter operator und operating) für eine Variablenliste aus. Wenn eine Übereinstimmung zwischen der Operation und den Variablen der Liste vorliegt, wird die Übereinstimmung als erfolgreich angesehen. Zum Beispiel, um nach dem zu suchen lokaler Host (127.0.0.1) In der Anforderungsheaderliste und im HTTP-Feld des virtuellen Hosts kann es mit der folgenden Konfiguration ausgewertet werden.
Die in einer Bedingung einzustellenden Konfigurationsparameter sind:
Variablen: Es gibt an, für welchen Teil der HTTP-Transaktion die Regel die Übereinstimmung versucht. Die möglichen Werte sind in diesem Tabelle. Es können mehrere Variablen hinzugefügt werden. Die Übereinstimmung wird als gültig angesehen, wenn einige davon übereinstimmen. Ein Erstellungsmenü wird angezeigt mehr wird darauf geklickt. Informationen zur Variablenkonfiguration finden Sie im Variablen erstellen .
Transformationen: Die Umwandlung ist eine Liste von Änderungen, die auf die Variablen angewendet werden müssen, bevor sie auf den Operator und die Operation angewendet werden. Transformationen werden sequentiell in der im Feld angegebenen Reihenfolge angewendet. Mit der Option multimach können Sie versuchen, für jede angewendete Transformation eine Übereinstimmung zu finden. Die Transformation ändert keine Informationen der HTTP-Transaktion, sie werden in zeitlichen Kontexten gespeichert und nach Abschluss der Operation entfernt. Hiergibt es eine Liste der Transformation. Dieser Parameter ist nützlich, um Vermeidungsschutztechniken oder Codierungsdaten zu entfernen.
Betreiber: So versucht die Regel das Match. Dieser Parameter wird in Kombination mit dem Betriebsmodus verwendet. Hiergibt es eine Liste von Operatoren.
Betrieb: Es ist das, was die Regeln im Match versuchen. Der Parameter wird zusammen mit dem Operator verwendet. Die Art des erwarteten Wertes muss dem Betreiber entsprechen.
Multi-Match: Dieser Parameter wird verwendet, wenn mehr als eine Transformation konfiguriert ist. Die Regel versucht eine Übereinstimmung der Variablen, des Operators und der Operation für jeden Transformationswert. Die möglichen Werte sind: true, aktiviert die Mehrfachübereinstimmung; oder false deaktiviert die Multi-Match-Funktion.
Nicht übereinstimmen: Wenn dieses Kontrollkästchen aktiviert ist, wird das Ergebnis des Matches annulliert und es kommt zum Einzug was immer dies auch sein sollte. Wann wird das Ergebnis sein? falsch oder zu überreden falsch Wann wird das Ergebnis sein? was immer dies auch sein sollte..
Variablen erstellen
Die Variablen sind ein obligatorischer Parameter in einer Übereinstimmungsbedingung. Sie wählen den Teil der HTTP-Anforderung / Antwort aus, in dem nach Informationen gesucht werden soll.
Variablen: Dieser Parameter gibt das Feld der HTTP-Anforderung / Antwort der Informationen (Zeit, Server…) der Transaktion an, in der nach den Informationen gesucht wird.
Argument der Variablen: Wenn eine Variable ausgewählt ist, ist es manchmal erforderlich, ein Element davon anzugeben. Beispielsweise wird im Bild angezeigt, wie der Anforderungsheader lautet Gastgeber ist ausgewählt markiert.
Elemente von Variablen zählen: Dieses Kontrollkästchen zählt die Anzahl der Elemente in der Variablen. Diese Funktion ist nützlich, wenn die Variable eine Liste ist.
Ignoriere diese Variable für die Übereinstimmung: Wenn dieses Kontrollkästchen aktiviert ist, wird die Variable in der Übereinstimmung nicht markiert. Diese Funktion ist nützlich, wenn eine Variable mit einer Liste von Werten überprüft werden soll, aber eine davon ausgeschlossen werden muss.
Variablentabelle
| Variable | Beschreibung |
|---|---|
| ARGS | Es ist eine Sammlung mit den Werten von Argumenten in einer Anfrage. |
| ARGS_JSON | Es ist eine Auflistung mit den Werten von Argumenten in einer JSON-Anforderung. Diese Variable ist für den Fall verfügbar, dass WAF die JSON-Argumente analysiert. Dafür sollte der Regelsatz REQUEST-901-INITIALIZATION aktiviert sein. |
| ARGS_COMBINED_SIZE | Gesamtgröße der Anforderungsparameter. Die Dateien sind ausgeschlossen. |
| ARGS_NAMES | Es ist eine Sammlung mit den Namen der Argumente in einer Anfrage. |
| DATEIEN | Es enthält die Dateinamen im Benutzer filesys. Nur wenn die Daten mehrteilig / Formulardaten sind. |
| FILES_COMBINED_SIZE | Dies ist die Gesamtgröße der Dateien in einer Anfrage. Nur wenn die Daten mehrteilig / Formulardaten sind. |
| FILES_NAMES | Es ist eine Liste von Dateinamen, die zum Hochladen der Dateien verwendet werden. Nur wenn die Daten mehrteilig / Formulardaten sind. |
| FILES_SIZES | Es enthält eine Liste der einzelnen Dateigrößen. Nur wenn die Daten mehrteilig / Formulardaten sind. |
| REQBODY_ERROR | Diese Variable ist 1, wenn das Format des Anforderungshauptteils für JSON oder XML nicht korrekt ist, andernfalls hat sie den Wert 0. |
| REQUEST_BODY | Es ist die rohe Körperanforderung. Wenn die Anforderung nicht den Header "application / x-www-form-urlencoded" enthält, muss in der REQUEST_HEADER-Phase "ctl: forceRequestBodyVariable" verwendet werden. |
| REQUEST_BODY_LENGTH | Dies ist die Anzahl der Bytes des Anforderungshauptteils. |
| REQUEST_COOKIES | Es ist eine Liste mit allen Anforderungscookiewerten. |
| REQUEST_COOKIES_NAMES | Es handelt sich um eine Liste mit allen Anforderungscookienamen. |
| REQUEST_HEADERS | Diese Variable enthält alle Anforderungsheader. |
| REQUEST_HEADERS_NAMES | Diese Variable enthält eine Liste mit den Namen der Anforderungsheader. |
| REQUEST_METHOD | Es ist die Anforderungsmethode. |
| REQUEST_PROTOCOL | Diese Variable enthält das HTTP-Anforderungsversionsprotokoll. |
| REQUEST_URI | Es ist der URI-Anforderungspfad. Der virtuelle Host ist ausgeschlossen. |
| PATH_INFO | Dies sind die Informationen vor dem URI-Pfad. |
| FULL_REQUEST | Es ist die volle Bitte. |
| FULL_REQUEST_LENGTH | Dies ist die Anzahl der Bytes, die eine vollständige Anforderung haben kann. |
| RESPONSE_BODY | Es ist die Reaktion des rohen Körpers. |
| RESPONSE_CONTENT_LENGTH | Dies ist die Anzahl der Bytes des Antwortkörpers. |
| RESPONSE_HEADERS | Diese Variable enthält alle Antwortheader. |
| RESPONSE_HEADERS_NAMES | Diese Variable enthält eine Liste mit den Namen der Antwortheader. |
| RESPONSE_PROTOCOL | Diese Variable enthält das Antwort-HTTP-Versionsprotokoll. |
| RESPONSE_STATUS | Es ist der Antwort-HTTP-Code. |
| REMOTE_ADDR | Es ist die IP-Adresse des Clients. |
| REMOTE_PORT | Dies ist der Port, an dem der Client die Verbindung initialisiert. |
| REMOTE_USER | Es ist der Name des authentifizierten Benutzers. |
| ZEIT- | Es ist die Serverzeit. Das Format ist Stunden: Minuten: Sekunden. |
| DAUER & GEHDISTANZ | Dies ist die Anzahl der Millisekunden seit dem Beginn der aktuellen Transaktion. |
| MULTIPART_FILENAME | Dies ist der Felddateiname in einer mehrteiligen Anforderung. |
| MULTIPART_NAME | Dies ist der Feldname in einer mehrteiligen Anforderung. |
| MATCHED_VAR | Es ist der übereinstimmende Wert in der letzten Übereinstimmungsoperation. Für diesen Wert ist keine Erfassungsoption erforderlich, er wird jedoch bei jeder Übereinstimmungsoperation ersetzt. |
| MATCHED_VARS | Es ist eine Liste aller übereinstimmenden Werte. |
| SERVER_ADDR | Es ist die IP-Adresse des Servers. |
| SERVER_NAME | Es ist der virtuelle Host, den es von der Anforderungs-URI erhält. |
| ENV | Es sind die Umgebungsvariablen der WAF. |
| TX | Es ist eine Sammlung von Variablen für die aktuelle Transaktion. Diese Variablen werden entfernt, wenn die Transaktion endet. Die Variablen TX: 0-TX: 9 speichern die mit den Operatoren strRegex oder strPhrases erfassten Werte. |
Tabelle der Operatoren
Die Operatoren können unterschiedliche Kontexte haben. Dieser Kontext wird durch ein Präfix angegeben, z. B. int für Ganzzahl, IP für IP-Operationen, str für Zeichenfolgen oder validieren, um Daten zu validieren.
| Variable | Beschreibung |
|---|---|
| strBegins | Die Regel stimmt überein, wenn eine der Variablen mit dem Wert von operating beginnt. |
| strContains | Die Regel stimmt überein, wenn eine der Variablen den Wert von operating enthält. |
| strContainsWord | Die Regel stimmt überein, wenn eine der Variablen das Wort des Betriebswerts enthält. |
| strEnds | Die Regel stimmt überein, wenn eine der Variablen mit dem Wert von operating endet. |
| innerhalb | Die Regel stimmt überein, wenn eine der Variablen mit dem Wert von operating beginnt. |
| strMatch | Die Regel stimmt überein, wenn eine der Variablen mit dem Wert von operating übereinstimmt. Diese Operation kann eine Liste von Zeichenfolgen sein, die nach Zeichen aufgeteilt sind | |
| strEq | Die Regel stimmt überein, wenn eine der Variablen mit dem Betriebswert identisch ist. |
| strRegex | Die Regel stimmt überein, wenn eine der Variablen mit dem regulären Ausdruck übereinstimmt, der in operating verwendet wird. |
| strPhrases | Die Regel stimmt überein, wenn eine der Variablen in einem der operativen Listenwerte übereinstimmt. |
| strPhrasesFromFile | Es ist dasselbe, was der Operator strPhrases sagt, aber die Operation ist eine Datei, in der eine Liste von Phrasen definiert ist. |
| intEQ | Die Regel stimmt überein, wenn eine der Variablen der im Betrieb verwendeten Anzahl entspricht. |
| intGE | Die Regel stimmt überein, wenn eine der Variablen größer oder gleich der im Betrieb verwendeten Anzahl ist. |
| intGT | Die Regel stimmt überein, wenn eine der Variablen größer ist als die im Betrieb verwendete Anzahl. |
| intLE | Die Regel stimmt überein, wenn eine der Variablen kleiner oder gleich der im Betrieb verwendeten Anzahl ist. |
| intLT | Die Regel stimmt überein, wenn eine der Variablen kleiner als die im Betrieb verwendete Anzahl ist. |
| detectSQLi | Es wendet die Erkennung der SQL-Injection auf die Liste der Variablen an. Dieser Bediener erwartet keine Bedienung. |
| detectXSS | Die Erkennung der XSS-Injektion wird auf die Liste der Variablen angewendet. Dieser Bediener erwartet keine Bedienung. |
| ipMatch | Versuchen Sie, die IP- oder Netzwerksegmente des Betriebs mit der Liste der Variablen abzugleichen. |
| ipMatchFromFile | Es ist das Gleiche wie der Operator ipMatch, aber hiermit wird versucht, die Variablen mit einer Datei mit einer Liste von IP-Adressen und Netzwerksegmenten abzugleichen. |
| validateByteRange | Es wird überprüft, ob sich die Anzahl der Bytes der Variablen in einem der Betriebswerte befindet. Ein Beispiel für die Bedienung ist „10, 13, 32-126“. |
| validateUrlEncoding | Es validiert verschlüsselte Daten. Dieser Operator darf nur für Daten verwendet werden, die nicht gemeinsam codiert werden, oder für Daten, die mehrmals codiert werden. |
| validateUtf8Encoding | Es bestätigt, dass die Variablen UTF-8 sind. Dieser Bediener erwartet keine Bedienung. |
| verifyCreditCard | Es wird überprüft, ob Variablen eine Kreditkartennummer sind. Dieser Parameter akzeptiert einen regulären Ausdruck als operativ. Wenn er übereinstimmt, wird die verifizierte Kreditkarte angewendet. |
| VerifySSN | Es wird überprüft, ob Variablen eine US-Sozialversicherungsnummer sind. Dieser Parameter akzeptiert einen regulären Ausdruck als operativ. Wenn er übereinstimmt, wird die SSN-Überprüfung angewendet. |
| matchAllways | Es wird immer true zurückgegeben, wodurch eine Übereinstimmung erzwungen wird. |
| matchNever | Es wird immer false zurückgegeben, wodurch eine Nichtübereinstimmung erzwungen wird. |
Tabelle der Transformation
| Transformation | Beschreibung |
|---|---|
| base64Decode | Dekodiert einen Base64-kodierten String. |
| base64DecodeExt | Dekodiert eine Base64-kodierte Zeichenfolge, wobei ungültige Zeichen ignoriert werden. |
| sqlHexDecode | Dekodiert SQL-Hex-Daten. |
| base64Encode | Codiert mit Base64-Codierung. |
| cmdLine | Vermeidet das Problem, das mit der maskierten Befehlszeile zusammenhängt. |
| compressWhitespace | Konvertiert alle Leerzeichen (0x20, \ f, \ t, \ n, \ r, \ v, 0xa0) in Leerzeichen (ASCII 0x20) und komprimiert mehrere aufeinanderfolgende Leerzeichen in eines. |
| cssDecode | Dekodiert Zeichen, die mit den Escape-Regeln von CSS 2.x kodiert wurden. Diese Funktion verwendet nur bis zu zwei Bytes im Dekodierungsprozess. Dies bedeutet, dass es nützlich ist, ASCII-Zeichen, die mit CSS-Kodierung kodiert wurden (die normalerweise nicht kodiert werden würde), aufzudecken oder einer Umgehung entgegenzuwirken, bei der es sich um eine Kombination aus Backslash und Non handelt -hexadezimale Zeichen (z. B. ja \ vascript entspricht javascript). |
| escapeSeqDecode | Dekodiert ANSI C-Escape-Sequenzen: \ a, \ b, \ f, \ n, \ r, \ t, \ v, \\, \?, \ ', \ ", \ XHH (hexadezimal), \ 0OOO (oktal) . In der Ausgabe verbleiben ungültige Codierungen. |
| hexDecode | Dekodiert einen String, der mit demselben Algorithmus wie der in hexEncode verwendete kodiert wurde (siehe folgenden Eintrag). |
| hexEncode | Codiert Zeichenfolgen (möglicherweise mit Binärzeichen), indem jedes Eingabebyte durch zwei Hexadezimalzeichen ersetzt wird. Beispielsweise wird xyz als 78797a codiert. |
| htmlEntityDecode | Dekodiert die als HTML-Entitäten kodierten Zeichen. |
| jsDecode | Dekodiert JavaScript-Escape-Sequenzen. |
| Länge | Sucht die Länge der Eingabezeichenfolge in Byte und platziert sie (als Zeichenfolge) in der Ausgabe. |
| Klein | Konvertiert alle Zeichen in Kleinbuchstaben unter Verwendung des aktuellen C-Gebietsschemas. |
| md5 | Berechnet einen MD5-Hash aus den eingegebenen Daten. Der berechnete Hash liegt in einer rohen binären Form vor und muss möglicherweise in den zu druckenden (oder zu protokollierenden) Text codiert werden. Hash-Funktionen werden üblicherweise in Kombination mit hexEncode verwendet. |
| keine | Keine eigentliche Transformationsfunktion, sondern eine Anweisung zum Entfernen früherer Transformationsfunktionen, die der aktuellen Regel zugeordnet sind. |
| normalizePath | Entfernt mehrere Schrägstriche, Verzeichnisselbstverweise und Verzeichnisrückverweise (außer zu Beginn der Eingabe) aus der Eingabezeichenfolge. |
| normalizePathWin | Entspricht normalizePath, konvertiert jedoch zuerst umgekehrte Schrägstriche in Schrägstriche. |
| parityEven7bit | Berechnet die gerade Parität von 7-Bit-Daten, wobei das 8-te Bit jedes Zielbytes durch das berechnete Paritätsbit ersetzt wird. |
| parityOdd7bit | Berechnet die ungerade Parität von 7-Bit-Daten, wobei das 8-te Bit jedes Zielbytes durch das berechnete Paritätsbit ersetzt wird. |
| parityZero7bit | Berechnet die Nullparität von 7-Bit-Daten, wobei das 8-te Bit jedes Zielbytes durch ein Nullparitätsbit ersetzt wird, wodurch die geraden / ungeraden 7-Bit-Paritätsdaten als ASCII7-Daten geprüft werden können. |
| removeNulls | Entfernt alle NUL-Bytes von der Eingabe. |
| removeWhitespace | Entfernt alle Leerzeichen aus der Eingabe. |
| replaceComments | Ersetzt jedes Vorkommen eines Kommentars im C-Stil (/ *… * /) durch ein einzelnes Leerzeichen (mehrere aufeinanderfolgende Vorkommen werden nicht komprimiert). Nicht abgeschlossene Kommentare werden ebenfalls durch Leerzeichen ersetzt (ASCII 0x20). Eine eigenständige Kündigung eines Kommentars (* /) wird jedoch nicht berücksichtigt. |
| removeCommentsChar | Entfernt häufig verwendete Kommentarzeichen (/ *, * /, -, #). |
| replaceNulls | Ersetzt NUL-Bytes in der Eingabe durch Leerzeichen (ASCII 0x20). |
| urlDecode | Dekodiert eine URL-kodierte Eingabezeichenfolge. Ungültige Codierungen (dh solche, die nicht hexadezimale Zeichen verwenden oder bei denen ein oder zwei Byte fehlen) werden nicht konvertiert, aber es wird kein Fehler ausgegeben. |
| Groß | Konvertiert alle Zeichen in Großbuchstaben unter Verwendung des aktuellen C-Gebietsschemas. |
| urlDecodeUni | Wie urlDecode, jedoch mit Unterstützung für die Microsoft-spezifische% u-Codierung. |
| urlEncode | Codiert die Eingabezeichenfolge mithilfe der URL-Codierung. |
| utf8toUnicode | Konvertiert alle UTF-8-Zeichenfolgen in Unicode. Dies hilft bei der Eingabe der Normalisierung, insbesondere für nicht-englische Sprachen, und minimiert falsch-positive und falsch-negative. |
| sha1 | Berechnet einen SHA1-Hash aus der Eingabezeichenfolge. Der berechnete Hash liegt in einer rohen binären Form vor und muss möglicherweise in den zu druckenden (oder zu protokollierenden) Text codiert werden. Hash-Funktionen werden üblicherweise in Kombination mit hexEncode verwendet. |
| trimLeft | Entfernt Leerzeichen von der linken Seite der Eingabezeichenfolge. |
| trimRight | Entfernt Leerzeichen von der rechten Seite der Eingabezeichenfolge. |
| trimmen | Entfernt Leerzeichen sowohl auf der linken als auch auf der rechten Seite der Eingabezeichenfolge. |
WAF-Einstellungen für Farmen
In diesem Abschnitt können Sie den aktuellen WAF-Regelsatz den HTTP-Farmen zuweisen.
In diesem Abschnitt können Sie eine oder mehrere Farmen auswählen (indem Sie die Umschalttastatur gedrückt halten) und ihnen den WAF-Regelsatz zuweisen oder aus diesen entfernen. Es ist auch möglich, es mit den Doppelpfeiltasten allen verfügbaren Farmen zuzuweisen oder zu entfernen.