IPDS | WAF | Aktualisieren

GESCHRIEBEN VON Zevenet | 21. Mai 2019

In diesem Abschnitt werden alle verfügbaren Einstellungen für den aktuellen WAF-Regelsatz in drei Registerkarten angezeigt. Globale, Regeln, und Farms. Beachten Sie, dass Änderungen in diesem Abschnitt durch Klicken auf übernommen werden müssen Senden .

Globale Einstellungen WAF-Regelsatz

Diese Konfiguration verwaltet das Verhalten aller im Set enthaltenen Regeln.

IDPS-Einstellungen

Name: sollten selbsterklärend sein, um leicht zu finden und wiederzuerkennen. Der Wert dieses Feldes wird beim Erstellen des Sets festgelegt und kann nicht geändert werden.
Anfragetext prüfen: ist ein Flag, das gesetzt werden soll, wenn der Hauptteil der HTTP-Anforderungen analysiert wird. Wenn dieses Flag deaktiviert ist, wird der Body übersprungen und Regelübereinstimmungen mit den Parametern des Request-Body werden nicht verarbeitet.
Körperlimit anfordern: ist die maximale Anzahl von Bytes des Anforderungshauptteils, die gespeichert werden, um die Hauptteilanforderung zu überprüfen. Wenn dieser Parameter den Wert 0 hat, speichert die WAF die Größe der Inhaltslänge vollständig. Es wird empfohlen, einen Grenzwert festzulegen.
Anfragetext prüfen: ist ein Flag, das gesetzt werden soll, wenn der Hauptteil der HTTP-Antwort analysiert wird. Wenn dieses Flag deaktiviert ist, wird der Textkörper übersprungen und Regelübereinstimmungen mit den Antwortkörperparametern werden nicht verarbeitet. Die Antwort größer als 524288 (512KB) wird ignoriert.

Standardaktion: Dieses Auswahlfeld wird als Standardauflösung verwendet, wenn in einer Regel keine Auflösung angegeben ist und alle Übereinstimmungen der Regel erfolgreich sind. Die möglichen Aktionen sind:

  • erlauben. Es werden keine weiteren Regeln (für die aktuelle HTTP-Transaktion) ausgewertet, wenn eine Regel mit dieser Aktion übereinstimmt.
  • Passieren. WAF wertet die nächste Regel weiter aus, ohne die HTTP-Transaktion zu unterbrechen.
  • Bestreiten. Beenden Sie die aktuelle HTTP-Transaktion. Keine Regeln mehr auswerten. Wenn die Regel in Phase 1 oder 2 (Analysieren der Anforderung) übereinstimmt, wird die Anforderung nicht an das Backend übermittelt. Wenn die Regel in Phase 3 oder 4 (Analyse der Antwort) übereinstimmt, wird die Antwort nicht an den Client übermittelt.
  • Umleiten. Die HTTP-Transaktion wird angehalten und eine HTTP-Umleitung an den Client gesendet.

URL umleiten: Dies ist die URL, die an den Client gesendet wird, wenn eine Regel übereinstimmt und die Umleitungsauflösung eingerichtet ist.
Standardphase: Dieses Auswahlfeld wird als Standardphase verwendet, wenn in einer Regel keine Phase angegeben ist. Eine Phase ist ein HTTP-Schritt, in dem eine WAF-Regel verknüpft werden kann. Die definierten Phasen sind:

  • Anforderungsheader werden empfangen. Die Regel wird ausgeführt, sobald alle Anforderungsheader vom Client vom Load Balancer gelesen wurden.
  • Der Anfragetext wurde empfangen. Die Regel wird ausgeführt, wenn der gesamte Anforderungshauptteil des Clients im Lastenausgleich zwischengespeichert ist.
  • Antwortleser werden empfangen. Die Regel wird ausgeführt, sobald alle Antwortheader vom Server vom Load Balancer gelesen wurden.
  • Antworttext wird empfangen. Die Regel wird ausgeführt, wenn der Load Balancer den vollständigen Antworttext vom Server liest.
  • Vorher als loggen. Die Regel wird ausgeführt, wenn der WAF-Prozess die Protokollierungsaufgabe beendet.

Standardprotokoll: Dies ist eine Protokollstandardaktion. Dieser Wert wird verwendet, wenn in den Regeleinstellungen keine Aktion für Protokolle angegeben ist.
Nur Protokollierung: Wenn dieses Kontrollkästchen aktiviert ist, wird der Auflösungsparameter der Regeln in der Gruppe niemals ausgeführt. Dieser Arbeitsmodus ist nur verfügbar, wenn das Gerät läuft.

Regeln deaktivieren

Diese Tabellen ermöglichen das Deaktivieren von Regeln des Satzes, ohne diese zu ändern.

IDPS-Einstellungen

Regeln aktivieren. Dies ist die Liste der Regeln, die derzeit im Satz aktiviert sind. Die Regeln sind durch ihre gekennzeichnet Regel-ID und sein Beschreibung Parameter.
Regeln aktivieren. Dies ist die Liste der Regeln, die derzeit in der Gruppe deaktiviert sind.

Liste der WAF-Regeln

Das Regeln Abschnitt ermöglicht das Erstellen und Ändern von WAF-Regeln, die HTTP-Angriffe erkennen und vor ihnen schützen.

Diese Regeln sind Anweisungen, die nacheinander in derselben Reihenfolge ausgewertet werden, in der sie auf diesem Bildschirm angezeigt werden. Wenn es zum Sortieren der Regeln erforderlich ist, aktivieren Sie die Schaltfläche Sortieren und per Drag & Drop in die gewünschte Position ziehen.

Die Regeln mögliche Parameter sind:

IDPS-Einstellungen

ID: Es ist eine Kennung, um die Regel innerhalb des Regelsatzes zu identifizieren. Diese Kennung entspricht der Regelposition in der Menge.
Regel-ID: Es ist eine eindeutige Kennung der Regel. Es ist nicht möglich, eine Verbindung zu einer Farm zum Waf-Set herzustellen, die zwei Regeln mit derselben Regel-ID enthält.
Beschreibung: Es ist eine beschreibende Nachricht, um die Regel zu identifizieren. Diese Nachricht wird bei einer erfolgreichen Übereinstimmung protokolliert.
Melden Sie sich: Wenn dieser Parameter aktiviert ist, wird die Regel protokolliert, wenn die erste Übereinstimmungsbedingung erfüllt ist.
Phase: Die Phase stellt den Schritt der HTTP-Anforderung dar, in dem eine Regel ausgeführt wird. Die möglichen Phasen sind:

  • Anforderungsheader werden empfangen. Die Regel wird ausgeführt, sobald alle Anforderungsheader vom Client vom Load Balancer gelesen wurden.
  • Der Anfragetext wurde empfangen. Die Regel wird ausgeführt, wenn der gesamte Anforderungshauptteil des Clients im Lastenausgleich zwischengespeichert ist.
  • Antwortleser werden empfangen. Die Regel wird ausgeführt, sobald alle Antwortheader vom Server vom Load Balancer gelesen wurden.
  • Antworttext wird empfangen. Die Regel wird ausgeführt, wenn der Load Balancer den vollständigen Antworttext vom Server liest.
  • Vorher als loggen. Die Regel wird ausgeführt, wenn der WAF-Prozess die Protokollierungsaufgabe beendet.

URL umleiten: Dies ist die URL, unter der der Client umgeleitet wird, wenn die Regel eine Umleitung ausführt. Dieser Parameter wird angezeigt, wenn im Auflösungsfeld eine Umleitung ausgewählt wird.
Lösung: Dieses Auswahlfeld ist die Aktion, die ausgeführt werden soll, wenn alle Übereinstimmungsbedingungen erfüllt sind.

  • erlauben. Es werden keine weiteren Regeln (für die aktuelle HTTP-Transaktion) ausgewertet, wenn eine Regel mit dieser Aktion übereinstimmt.
  • Passieren. WAF wertet die nächste Regel weiter aus, ohne die HTTP-Transaktion zu unterbrechen.
  • Bestreiten. Beenden Sie die aktuelle HTTP-Transaktion. Keine Regeln mehr auswerten. Wenn die Regel in Phase 1 oder 2 (Analysieren der Anforderung) übereinstimmt, wird die Anforderung nicht an das Backend übermittelt. Wenn die Regel in Phase 3 oder 4 (Analyse der Antwort) übereinstimmt, wird die Antwort nicht an den Client übermittelt.
  • Umleiten. Die HTTP-Transaktion wird angehalten und eine HTTP-Umleitung an den Client gesendet.

Überspringen: Wenn alle Übereinstimmungen erzielt wurden, überspringt die Regel die in diesem Feld angegebene Anzahl von Regeln.
Überspringen nach: Wenn alle Übereinstimmungen erreicht sind, springt die Regel zu einer anderen Firewall-Position. Die Regel kann zu einer 'Marke' oder zu einer anderen Regel-ID springen. Die Regel-ID wird nach einem Sprung ausgeführt und befindet sich in derselben Phase wie die aktuelle Regel.
Ausführung: Dies ist der Pfad zu einem LUA-Skript. Das Skript muss zuvor in den Load Balancer hochgeladen worden sein. Es wird ausgeführt, wenn die erste Übereinstimmungsbedingung erfüllt ist.

Bearbeiten einer WAF-Regel in RAW

Wenn das Regelformular nicht ausreicht, um die de WAF-Regel zu parametrisieren, und der Administrator mit der SecLang-Syntax vertraut ist, können über die Bearbeitungsoption Regeln oder Regelstapel erstellt werden. Dieses Feld akzeptiert alle Anweisungen, wenn die Anweisung und der Parameter von der SecLang-Syntax unterstützt werden. Das SecLang Parameter, die nicht im Formular ausgedrückt werden, werden nicht darin angezeigt, aber sie werden im Bearbeitungsformular angezeigt und in der Laufzeit verarbeitet.

Farm zevenet ipds blacklist zuweisen

Erstellen einer WAF-Regel

Wenn eine neue Regel hinzugefügt wird, wird sie an die anderen Regeln der Sätze angehängt. Um eine neue Regel zu erstellen, gibt es drei Möglichkeiten, eine neue Regel zu erstellen.

Farm zevenet ipds blacklist zuweisen

Mark: Es setzt eine Firewall-Marke. Diese Markierungen sind nützlich, um zu springen, sobald eine Übereinstimmungsbedingung erreicht ist. Der erwartete Parameter ist der Name zur Kennzeichnung der Marke.

Farm zevenet ipds blacklist zuweisen

Aktion: Es wird eine Grundregel unter Verwendung eines Formulars erstellt. Die Parameter des Formulars sind die gleichen wie in der Liste der WAF-Regeln Sektion. Wenn die Ausführung der Regel bedingt sein muss, klicken Sie auf ZUSTAND HINZUFÜGEN Schaltfläche, um die Ausführungsbedingungen festzulegen.

Farm zevenet ipds blacklist zuweisen

Benutzerdefiniert: Dieses Formular akzeptiert Regeln (und eine Reihe von Regeln) der SecLang-Syntax. Weitere Informationen zur SecLang-Syntax finden Sie unter Dokumentation zum libmodsecurity-Projekt.

Liste der Bedingungen

Diese Tabelle zeigt eine Liste der Bedingungen, unter denen das mit HTTP analysierte Paket der Regel entsprechen muss. Alle diese Übereinstimmungen werden in der in der Regel definierten Phase ausgeführt. Die Übereinstimmungen werden nacheinander überprüft und die Regel wird angewendet, wenn alle erfolgreich ausgeführt wurden.

Um die Übereinstimmung zu bewerten, führt die WAF eine Operation (Parameteroperator und Operation) für eine Variablenliste aus. Wenn einige Variablen der Liste mit der Operation übereinstimmen, wird die Übereinstimmung als erfolgreich angesehen. In der folgenden Abbildung wird beispielsweise in der Liste der vom Client gesendeten Anforderungsheader nach den Header-BILDERN gesucht. Zuerst dekodiert es in 64 Basen jeden Header und als nächstes konvertiert es die Header in Kleinbuchstaben. Wenn die Transformation der Variablen abgeschlossen ist, wird ein regulärer Ausdruck angewendet, der in der Liste der transformierten Variablen nach der Zeichenfolge "images" sucht. Das multi mach Die Option versucht eine Übereinstimmung für jede Transformationsoperation (nach der 64-Basisdecodierung und nach der Konvertierung in Kleinbuchstaben).

IDPS-Einstellungen

Bedingungen schaffen

Das Match bildet eine Bedingung, die erfüllt sein muss, um die WAF-Regel auszuführen. Um die Übereinstimmung zu bewerten, führt die WAF eine Operation (Parameter operator und operating) für eine Variablenliste aus. Wenn eine Übereinstimmung zwischen der Operation und den Variablen der Liste vorliegt, wird die Übereinstimmung als erfolgreich angesehen. Zum Beispiel, um nach dem zu suchen lokaler Host (127.0.0.1) In der Anforderungsheaderliste und im HTTP-Feld des virtuellen Hosts kann es mit der folgenden Konfiguration ausgewertet werden.

IDPS-Einstellungen

Die in einer Bedingung einzustellenden Konfigurationsparameter sind:

Variablen: Es gibt an, für welchen Teil der HTTP-Transaktion die Regel die Übereinstimmung versucht. Die möglichen Werte sind in diesem Tabelle. Es können mehrere Variablen hinzugefügt werden. Die Übereinstimmung wird als gültig angesehen, wenn einige davon übereinstimmen. Ein Erstellungsmenü wird angezeigt mehr wird darauf geklickt. Informationen zur Variablenkonfiguration finden Sie im Variablen erstellen Abschnitt.
Transformationen: Die Umwandlung ist eine Liste von Änderungen, die auf die Variablen angewendet werden müssen, bevor sie auf den Operator und die Operation angewendet werden. Transformationen werden sequentiell in der im Feld angegebenen Reihenfolge angewendet. Mit der Option multimach können Sie versuchen, für jede angewendete Transformation eine Übereinstimmung zu finden. Die Transformation ändert keine Informationen der HTTP-Transaktion, sie werden in zeitlichen Kontexten gespeichert und nach Abschluss der Operation entfernt. gibt es eine Liste der Transformation. Dieser Parameter ist nützlich, um Vermeidungsschutztechniken oder Codierungsdaten zu entfernen.
Betreiber: So versucht die Regel das Match. Dieser Parameter wird in Kombination mit dem Betriebsmodus verwendet. gibt es eine Liste von Operatoren.
Betrieb: Es ist das, was die Regeln im Match versuchen. Der Parameter wird zusammen mit dem Operator verwendet. Die Art des erwarteten Wertes muss dem Betreiber entsprechen.
Multi-Match: Dieser Parameter wird verwendet, wenn mehr als eine Transformation konfiguriert ist. Die Regel versucht eine Übereinstimmung der Variablen, des Operators und der Operation für jeden Transformationswert. Die möglichen Werte sind: true, aktiviert die Mehrfachübereinstimmung; oder false deaktiviert die Multi-Match-Funktion.
Nicht übereinstimmen: Wenn dieses Kontrollkästchen aktiviert ist, wird das Ergebnis des Matches annulliert und es kommt zum Einzug was immer dies auch sein sollte. Wann wird das Ergebnis sein? falsch oder zu überreden falsch Wann wird das Ergebnis sein? was immer dies auch sein sollte..

Variablen erstellen

Die Variablen sind ein obligatorischer Parameter in einer Übereinstimmungsbedingung. Sie wählen den Teil der HTTP-Anforderung / Antwort aus, in dem nach Informationen gesucht werden soll.

Variablen: Dieser Parameter gibt das Feld der HTTP-Anforderung / Antwort der Informationen (Zeit, Server…) der Transaktion an, in der nach den Informationen gesucht wird.

IDPS-Einstellungen

Argument der Variablen: Wenn eine Variable ausgewählt ist, ist es manchmal erforderlich, ein Element davon anzugeben. Beispielsweise wird im Bild angezeigt, wie der Anforderungsheader lautet Gastgeber ist ausgewählt markiert.

IDPS-Einstellungen

Elemente von Variablen zählen: Dieses Kontrollkästchen zählt die Anzahl der Elemente in der Variablen. Diese Funktion ist nützlich, wenn die Variable eine Liste ist.

IDPS-Einstellungen

Ignoriere diese Variable für die Übereinstimmung: Wenn dieses Kontrollkästchen aktiviert ist, wird die Variable in der Übereinstimmung nicht markiert. Diese Funktion ist nützlich, wenn eine Variable mit einer Liste von Werten überprüft werden soll, aber eine davon ausgeschlossen werden muss.

Variablentabelle

VariableProduktbeschreibung
ARGSEs ist eine Sammlung mit den Werten von Argumenten in einer Anfrage.
ARGS_JSONEs ist eine Auflistung mit den Werten von Argumenten in einer JSON-Anforderung. Diese Variable ist für den Fall verfügbar, dass WAF die JSON-Argumente analysiert. Dafür sollte der Regelsatz REQUEST-901-INITIALIZATION aktiviert sein.
ARGS_COMBINED_SIZEGesamtgröße der Anforderungsparameter. Die Dateien sind ausgeschlossen.
ARGS_NAMESEs ist eine Sammlung mit den Namen der Argumente in einer Anfrage.
DATEIENEs enthält die Dateinamen im Benutzer filesys. Nur wenn die Daten mehrteilig / Formulardaten sind.
FILES_COMBINED_SIZEDies ist die Gesamtgröße der Dateien in einer Anfrage. Nur wenn die Daten mehrteilig / Formulardaten sind.
FILES_NAMESEs ist eine Liste von Dateinamen, die zum Hochladen der Dateien verwendet werden. Nur wenn die Daten mehrteilig / Formulardaten sind.
FILES_SIZESEs enthält eine Liste der einzelnen Dateigrößen. Nur wenn die Daten mehrteilig / Formulardaten sind.
REQBODY_ERRORDiese Variable ist 1, wenn das Format des Anforderungshauptteils für JSON oder XML nicht korrekt ist, andernfalls hat sie den Wert 0.
REQUEST_BODYEs ist die rohe Körperanforderung. Wenn die Anforderung nicht den Header "application / x-www-form-urlencoded" enthält, muss in der REQUEST_HEADER-Phase "ctl: forceRequestBodyVariable" verwendet werden.
REQUEST_BODY_LENGTHDies ist die Anzahl der Bytes des Anforderungshauptteils.
REQUEST_COOKIESEs ist eine Liste mit allen Anforderungscookiewerten.
REQUEST_COOKIES_NAMESEs handelt sich um eine Liste mit allen Anforderungscookienamen.
REQUEST_HEADERSDiese Variable enthält alle Anforderungsheader.
REQUEST_HEADERS_NAMESDiese Variable enthält eine Liste mit den Namen der Anforderungsheader.
REQUEST_METHODEs ist die Anforderungsmethode.
REQUEST_PROTOCOLDiese Variable enthält das HTTP-Anforderungsversionsprotokoll.
REQUEST_URIEs ist der URI-Anforderungspfad. Der virtuelle Host ist ausgeschlossen.
PATH_INFODies sind die Informationen vor dem URI-Pfad.
FULL_REQUESTEs ist die volle Bitte.
FULL_REQUEST_LENGTHDies ist die Anzahl der Bytes, die eine vollständige Anforderung haben kann.
RESPONSE_BODYEs ist die Reaktion des rohen Körpers.
RESPONSE_CONTENT_LENGTHDies ist die Anzahl der Bytes des Antwortkörpers.
RESPONSE_HEADERSDiese Variable enthält alle Antwortheader.
RESPONSE_HEADERS_NAMESDiese Variable enthält eine Liste mit den Namen der Antwortheader.
RESPONSE_PROTOCOLDiese Variable enthält das Antwort-HTTP-Versionsprotokoll.
RESPONSE_STATUSEs ist der Antwort-HTTP-Code.
REMOTE_ADDREs ist die IP-Adresse des Clients.
REMOTE_PORTDies ist der Port, an dem der Client die Verbindung initialisiert.
REMOTE_USEREs ist der Name des authentifizierten Benutzers.
ZEIT-Es ist die Serverzeit. Das Format ist Stunden: Minuten: Sekunden.
DAUERDies ist die Anzahl der Millisekunden seit dem Beginn der aktuellen Transaktion.
MULTIPART_FILENAMEDies ist der Felddateiname in einer mehrteiligen Anforderung.
MULTIPART_NAMEDies ist der Feldname in einer mehrteiligen Anforderung.
MATCHED_VAREs ist der übereinstimmende Wert in der letzten Übereinstimmungsoperation. Für diesen Wert ist keine Erfassungsoption erforderlich, er wird jedoch bei jeder Übereinstimmungsoperation ersetzt.
MATCHED_VARSEs ist eine Liste aller übereinstimmenden Werte.
SERVER_ADDREs ist die IP-Adresse des Servers.
SERVER_NAMEEs ist der virtuelle Host, den es von der Anforderungs-URI erhält.
ENVEs sind die Umgebungsvariablen der WAF.
TXEs ist eine Sammlung von Variablen für die aktuelle Transaktion. Diese Variablen werden entfernt, wenn die Transaktion endet. Die Variablen TX: 0-TX: 9 speichern die mit den Operatoren strRegex oder strPhrases erfassten Werte.

Tabelle der Operatoren

Die Operatoren können unterschiedliche Kontexte haben. Dieser Kontext wird durch ein Präfix angegeben, z. B. int für Ganzzahl, IP für IP-Operationen, str für Zeichenfolgen oder validieren, um Daten zu validieren.

VariableProduktbeschreibung
strBeginsDie Regel stimmt überein, wenn eine der Variablen mit dem Wert von operating beginnt.
strContainsDie Regel stimmt überein, wenn eine der Variablen den Wert von operating enthält.
strContainsWordDie Regel stimmt überein, wenn eine der Variablen das Wort des Betriebswerts enthält.
strEndsDie Regel stimmt überein, wenn eine der Variablen mit dem Wert von operating endet.
innerhalbDie Regel stimmt überein, wenn eine der Variablen mit dem Wert von operating beginnt.
strMatchDie Regel stimmt überein, wenn eine der Variablen mit dem Wert von operating übereinstimmt. Diese Operation kann eine Liste von Zeichenfolgen sein, die nach Zeichen aufgeteilt sind |
strEqDie Regel stimmt überein, wenn eine der Variablen mit dem Betriebswert identisch ist.
strRegexDie Regel stimmt überein, wenn eine der Variablen mit dem regulären Ausdruck übereinstimmt, der in operating verwendet wird.
strPhrasesDie Regel stimmt überein, wenn eine der Variablen in einem der operativen Listenwerte übereinstimmt.
strPhrasesFromFileEs ist dasselbe, was der Operator strPhrases sagt, aber die Operation ist eine Datei, in der eine Liste von Phrasen definiert ist.
intEQDie Regel stimmt überein, wenn eine der Variablen der im Betrieb verwendeten Anzahl entspricht.
intGEDie Regel stimmt überein, wenn eine der Variablen größer oder gleich der im Betrieb verwendeten Anzahl ist.
intGTDie Regel stimmt überein, wenn eine der Variablen größer ist als die im Betrieb verwendete Anzahl.
intLEDie Regel stimmt überein, wenn eine der Variablen kleiner oder gleich der im Betrieb verwendeten Anzahl ist.
intLTDie Regel stimmt überein, wenn eine der Variablen kleiner als die im Betrieb verwendete Anzahl ist.
detectSQLiEs wendet die Erkennung der SQL-Injection auf die Liste der Variablen an. Dieser Bediener erwartet keine Bedienung.
detectXSSDie Erkennung der XSS-Injektion wird auf die Liste der Variablen angewendet. Dieser Bediener erwartet keine Bedienung.
ipMatchVersuchen Sie, die IP- oder Netzwerksegmente des Betriebs mit der Liste der Variablen abzugleichen.
ipMatchFromFileEs ist das Gleiche wie der Operator ipMatch, aber hiermit wird versucht, die Variablen mit einer Datei mit einer Liste von IP-Adressen und Netzwerksegmenten abzugleichen.
validateByteRangeEs wird überprüft, ob sich die Anzahl der Bytes der Variablen in einem der Betriebswerte befindet. Ein Beispiel für die Bedienung ist „10, 13, 32-126“.
validateUrlEncodingEs validiert verschlüsselte Daten. Dieser Operator darf nur für Daten verwendet werden, die nicht gemeinsam codiert werden, oder für Daten, die mehrmals codiert werden.
validateUtf8EncodingEs bestätigt, dass die Variablen UTF-8 sind. Dieser Bediener erwartet keine Bedienung.
verifyCreditCardEs wird überprüft, ob Variablen eine Kreditkartennummer sind. Dieser Parameter akzeptiert einen regulären Ausdruck als operativ. Wenn er übereinstimmt, wird die verifizierte Kreditkarte angewendet.
VerifySSNEs wird überprüft, ob Variablen eine US-Sozialversicherungsnummer sind. Dieser Parameter akzeptiert einen regulären Ausdruck als operativ. Wenn er übereinstimmt, wird die SSN-Überprüfung angewendet.
matchAllwaysEs wird immer true zurückgegeben, wodurch eine Übereinstimmung erzwungen wird.
matchNeverEs wird immer false zurückgegeben, wodurch eine Nichtübereinstimmung erzwungen wird.

Tabelle der Transformation

TransformationProduktbeschreibung
base64DecodeDekodiert einen Base64-kodierten String.
base64DecodeExtDekodiert eine Base64-kodierte Zeichenfolge, wobei ungültige Zeichen ignoriert werden.
sqlHexDecodeDekodiert SQL-Hex-Daten.
base64EncodeCodiert mit Base64-Codierung.
cmdLineVermeidet das Problem, das mit der maskierten Befehlszeile zusammenhängt.
compressWhitespaceKonvertiert alle Leerzeichen (0x20, \ f, \ t, \ n, \ r, \ v, 0xa0) in Leerzeichen (ASCII 0x20) und komprimiert mehrere aufeinanderfolgende Leerzeichen in eines.
cssDecodeDekodiert Zeichen, die mit den Escape-Regeln von CSS 2.x kodiert wurden. Diese Funktion verwendet nur bis zu zwei Bytes im Dekodierungsprozess. Dies bedeutet, dass es nützlich ist, ASCII-Zeichen, die mit CSS-Kodierung kodiert wurden (die normalerweise nicht kodiert werden würde), aufzudecken oder einer Umgehung entgegenzuwirken, bei der es sich um eine Kombination aus Backslash und Non handelt -hexadezimale Zeichen (z. B. ja \ vascript entspricht javascript).
escapeSeqDecodeDekodiert ANSI C-Escape-Sequenzen: \ a, \ b, \ f, \ n, \ r, \ t, \ v, \\, \?, \ ', \ ", \ XHH (hexadezimal), \ 0OOO (oktal) . In der Ausgabe verbleiben ungültige Codierungen.
hexDecodeDekodiert einen String, der mit demselben Algorithmus wie der in hexEncode verwendete kodiert wurde (siehe folgenden Eintrag).
hexEncodeCodiert Zeichenfolgen (möglicherweise mit Binärzeichen), indem jedes Eingabebyte durch zwei Hexadezimalzeichen ersetzt wird. Beispielsweise wird xyz als 78797a codiert.
htmlEntityDecodeDekodiert die als HTML-Entitäten kodierten Zeichen.
jsDecodeDekodiert JavaScript-Escape-Sequenzen.
LängeSucht die Länge der Eingabezeichenfolge in Byte und platziert sie (als Zeichenfolge) in der Ausgabe.
KleinKonvertiert alle Zeichen in Kleinbuchstaben unter Verwendung des aktuellen C-Gebietsschemas.
md5Berechnet einen MD5-Hash aus den eingegebenen Daten. Der berechnete Hash liegt in einer rohen binären Form vor und muss möglicherweise in den zu druckenden (oder zu protokollierenden) Text codiert werden. Hash-Funktionen werden üblicherweise in Kombination mit hexEncode verwendet.
keineKeine eigentliche Transformationsfunktion, sondern eine Anweisung zum Entfernen früherer Transformationsfunktionen, die der aktuellen Regel zugeordnet sind.
normalizePathEntfernt mehrere Schrägstriche, Verzeichnisselbstverweise und Verzeichnisrückverweise (außer zu Beginn der Eingabe) aus der Eingabezeichenfolge.
normalizePathWinEntspricht normalizePath, konvertiert jedoch zuerst umgekehrte Schrägstriche in Schrägstriche.
parityEven7bitBerechnet die gerade Parität von 7-Bit-Daten, wobei das 8-te Bit jedes Zielbytes durch das berechnete Paritätsbit ersetzt wird.
parityOdd7bitBerechnet die ungerade Parität von 7-Bit-Daten, wobei das 8-te Bit jedes Zielbytes durch das berechnete Paritätsbit ersetzt wird.
parityZero7bitBerechnet die Nullparität von 7-Bit-Daten, wobei das 8-te Bit jedes Zielbytes durch ein Nullparitätsbit ersetzt wird, wodurch die geraden / ungeraden 7-Bit-Paritätsdaten als ASCII7-Daten geprüft werden können.
removeNullsEntfernt alle NUL-Bytes von der Eingabe.
removeWhitespaceEntfernt alle Leerzeichen aus der Eingabe.
replaceCommentsErsetzt jedes Vorkommen eines Kommentars im C-Stil (/ *… * /) durch ein einzelnes Leerzeichen (mehrere aufeinanderfolgende Vorkommen werden nicht komprimiert). Nicht abgeschlossene Kommentare werden ebenfalls durch Leerzeichen ersetzt (ASCII 0x20). Eine eigenständige Kündigung eines Kommentars (* /) wird jedoch nicht berücksichtigt.
removeCommentsCharEntfernt häufig verwendete Kommentarzeichen (/ *, * /, -, #).
replaceNullsErsetzt NUL-Bytes in der Eingabe durch Leerzeichen (ASCII 0x20).
urlDecodeDekodiert eine URL-kodierte Eingabezeichenfolge. Ungültige Codierungen (dh solche, die nicht hexadezimale Zeichen verwenden oder bei denen ein oder zwei Byte fehlen) werden nicht konvertiert, aber es wird kein Fehler ausgegeben.
GroßKonvertiert alle Zeichen in Großbuchstaben unter Verwendung des aktuellen C-Gebietsschemas.
urlDecodeUniWie urlDecode, jedoch mit Unterstützung für die Microsoft-spezifische% u-Codierung.
urlEncodeCodiert die Eingabezeichenfolge mithilfe der URL-Codierung.
utf8toUnicodeKonvertiert alle UTF-8-Zeichenfolgen in Unicode. Dies hilft bei der Eingabe der Normalisierung, insbesondere für nicht-englische Sprachen, und minimiert falsch-positive und falsch-negative.
sha1Berechnet einen SHA1-Hash aus der Eingabezeichenfolge. Der berechnete Hash liegt in einer rohen binären Form vor und muss möglicherweise in den zu druckenden (oder zu protokollierenden) Text codiert werden. Hash-Funktionen werden üblicherweise in Kombination mit hexEncode verwendet.
trimLeftEntfernt Leerzeichen von der linken Seite der Eingabezeichenfolge.
trimRightEntfernt Leerzeichen von der rechten Seite der Eingabezeichenfolge.
trimmenEntfernt Leerzeichen sowohl auf der linken als auch auf der rechten Seite der Eingabezeichenfolge.

WAF-Einstellungen für Farmen

In diesem Abschnitt können Sie den aktuellen WAF-Regelsatz den HTTP-Farmen zuweisen.

Farm zevenet ipds blacklist zuweisen

In diesem Abschnitt können Sie eine oder mehrere Farmen auswählen (indem Sie die Umschalttastatur gedrückt halten) und ihnen den WAF-Regelsatz zuweisen oder aus diesen entfernen. Es ist auch möglich, es mit den Doppelpfeiltasten allen verfügbaren Farmen zuzuweisen oder zu entfernen.

Teilen:

Dokumentation unter den Bedingungen der GNU Free Documentation License.

War dieser Artikel hilfreich?

Verwandte Artikel