In diesem Abschnitt werden alle verfügbaren Einstellungen für den aktuellen WAF-Regelsatz in drei Registerkarten angezeigt. Globale, Regeln und Farms. Beachten Sie, dass Änderungen in diesem Abschnitt durch Klicken auf übernommen werden müssen Zur Bewerbung .
Globale Einstellungen WAF-Regelsatz
Diese Konfiguration verwaltet das Verhalten aller im Set enthaltenen Regeln.
Name. Eine Bezeichnung, die eine Regel leicht identifiziert. Die Bezeichnung, die Sie zum Benennen Ihres Regelsatzes auswählen, kann nicht geändert werden.
Überprüfen Sie den Anfragetext. Es ist ein Flag, das festlegt, ob der Hauptteil der HTTP-Anforderungen analysiert werden soll. Wenn dieses Flag deaktiviert ist, wird der Text übersprungen und die Regelübereinstimmungen mit den Anforderungstextparametern werden nicht verarbeitet.
Körperlimit anfordern. Dies ist die maximale Anzahl von Bytes des Anforderungshauptteils, die gespeichert werden, um die Hauptanforderung zu untersuchen. Wenn dieser Parameter den Wert 0 hat, speichert die WAF die Größe der Inhaltslänge vollständig. Es wird empfohlen, einen beliebigen Grenzwert einzustellen.
Überprüfen Sie den Antworttext. Es ist ein Flag, das gesetzt werden muss, wenn der Hauptteil der HTTP-Antwort analysiert werden soll. Wenn dieses Flag deaktiviert ist, wird der Text übersprungen und Regelübereinstimmungen mit Antworttextparametern werden nicht verarbeitet. Eine Antwort größer als 524288 (512KB) wird ignoriert.
Standardaktion. Dieses Auswahlfeld wird als Standardauflösung verwendet, wenn in einer Regel keine Auflösung angegeben ist. Alle Spiele der Regel sind ein Erfolg. Hier ist eine kurze Beschreibung jeder Aktion.
- Erlauben. Aktiviert die Verarbeitung der aktuellen WAF bis zum Abschluss der HTTP-Transaktion
- Passieren. Die WAF wertet die nächste Regel weiter aus, ohne die HTTP-Transaktion zu unterbrechen.
- Ablehnen. Beenden Sie die aktuelle HTTP-Transaktion. Die Bewertung weiterer Regeln ist nicht zulässig. Wenn die Regel in Phase 1 oder 2 (Analysieren der Anfrage) zutrifft, wird die Anfrage nicht an das Backend geliefert. Wenn die Regel in Phase 3 oder 4 (Analysieren der Antwort) zutrifft, wird die Antwort nicht an den Client geliefert.
- Umleiten. Die HTTP-Transaktion wird angehalten und eine HTTP-Umleitung an den Client gesendet.
Weiterleitungs-URL. Es ist die URL, die an den Client gesendet wird, wenn eine Regel zutrifft. Für diese URL ist eine Umleitungsauflösung eingerichtet.
Standardphase. Dieses Auswahlfeld wird als Standardphase verwendet, wenn in einer Regel keine Phase angegeben ist. Eine Phase ist ein HTTP-Schritt, mit dem Sie eine WAF-Regel verknüpfen können. Dies sind die definierten Phasen:
- Anforderungsheader werden empfangen. Die Regel wird ausgeführt, sobald alle Anforderungsheader vom Client vom Load Balancer gelesen wurden.
- Der Anfragetext wurde empfangen. Die Regel wird ausgeführt, wenn der gesamte Anforderungshauptteil des Clients im Lastenausgleich zwischengespeichert ist.
- Antwortleser werden empfangen. Die Regel wird ausgeführt, sobald alle Antwortheader vom Server vom Load Balancer gelesen wurden.
- Antworttext wird empfangen. Die Regel wird ausgeführt, wenn der Load Balancer den vollständigen Antworttext vom Server liest.
- Vorher als loggen. Die Regel wird ausgeführt, wenn der WAF-Prozess die Protokollierungsaufgabe beendet.
Standardprotokoll. Es ist eine Protokoll-Standardaktion. Dieser Wert wird verwendet, wenn in den Regeleinstellungen keine Aktion zu Protokollen angegeben ist.
Nur protokollieren. Wenn dieses Kontrollkästchen aktiviert ist, wird der Auflösungsparameter der Regeln im Satz niemals ausgeführt. Dieser Arbeitsmodus ist nur verfügbar, wenn das Gerät läuft.
Regeln deaktivieren
Diese Tabellen ermöglichen das Deaktivieren von Regeln des Satzes, ohne diese zu ändern.
Aktivierte Regeln. Dies ist die Liste der Regeln, die derzeit im Satz aktiviert sind. Die Regeln sind durch ihre gekennzeichnet Regel-ID und sein Beschreibung Parameter.
Regeln für Behinderte. Dies ist die Liste der Regeln, die derzeit in der Gruppe deaktiviert sind.
Liste der WAF-Regeln
DIE Regeln ermöglicht das Erstellen und Ändern von WAF-Regeln, die HTTP-Angriffe erkennen und davor schützen.
Diese Regeln sind Anweisungen, die nacheinander ausgewertet werden, dh in derselben Reihenfolge, die auf diesem Bildschirm angezeigt wird. Wenn es notwendig ist, die Regeln zu sortieren, aktivieren Sie die Sortieren Klicken Sie dann auf die Schaltfläche und ziehen Sie sie per Drag & Drop an die gewünschte Position.
Die möglichen Parameter für die Regeln wurden unten beschrieben.
ID. Es ist ein Bezeichner, um die Regel innerhalb des Regelsatzes zu identifizieren. Diese Kennung entspricht der Regelposition im Satz.
Regel-ID. Es ist eine eindeutige Kennung der Regel. Es ist nicht möglich, eine Farm mit einem WAF-Set zu verknüpfen, das zwei Regeln mit derselben Regel-ID enthält.
Beschreibung. Es ist eine beschreibende Nachricht, um die Regel zu identifizieren. Diese Nachricht wird bei einer erfolgreichen Übereinstimmung protokolliert.
Phase. Die Phase stellt den Schritt der HTTP-Anforderung dar, in dem eine Regel ausgeführt wird. Die möglichen Phasen sind:
- Anforderungsheader werden empfangen. Die Regel wird ausgeführt, sobald alle Anforderungsheader vom Client vom Load Balancer gelesen wurden.
- Der Anfragetext wurde empfangen. Die Regel wird ausgeführt, wenn der gesamte Anforderungshauptteil des Clients im Lastenausgleich zwischengespeichert ist.
- Antwortleser werden empfangen. Die Regel wird ausgeführt, sobald alle Antwortheader vom Server vom Load Balancer gelesen wurden.
- Antworttext wird empfangen. Die Regel wird ausgeführt, wenn der Load Balancer den vollständigen Antworttext vom Server liest.
- Vorher als loggen. Die Regel wird ausgeführt, wenn der WAF-Prozess die Protokollierungsaufgabe beendet.
Auflösung. Dieses Auswahlfeld ist die ausgewählte Aktion, die ausgeführt werden soll, wenn alle Übereinstimmungsbedingungen erfüllt sind.
- Erlauben. Es werden keine weiteren Regeln (für die aktuelle HTTP-Transaktion) ausgewertet, wenn eine Regel mit dieser Aktion übereinstimmt.
- Passieren. Die WAF wertet die nächste Regel weiter aus, ohne die HTTP-Transaktion zu unterbrechen.
- Ablehnen. Beenden Sie die aktuelle HTTP-Transaktion. Es findet keine Regelauswertung mehr statt. Wenn die Regel in Phase 1 oder 2 (Analysieren der Anfrage) zutrifft, wird die Anfrage nicht an das Backend geliefert. Wenn die Regel in Phase 3 oder 4 (Analysieren der Antwort) zutrifft, wird die Antwort nicht an den Client geliefert.
- Umleiten. Die HTTP-Transaktion wird angehalten und eine HTTP-Umleitung an den Client gesendet.
- Standardaktion. Die Auflösung wird eingestellt, wenn Sie keine anwenden. Normalerweise wird es die sein Erlauben Auflösung
URL umleiten. Es ist die URL, an die der Client umgeleitet wird, falls diese Regel eine Umleitung ausführt. Dieser Parameter wird angezeigt, wenn im Auflösungsfeld eine Weiterleitung ausgewählt wird.
überspringen. Wenn alle Übereinstimmungen erzielt werden, überspringt die Regel die in diesem Feld angegebene Anzahl von Regeln.
Danach überspringen. Wenn alle Übereinstimmungen erreicht werden, springt die Regel an eine andere Firewall-Position. Die Regel kann zu einer 'Markierung' oder einer anderen Regel-ID springen. Die Regel-ID wird nach einem Sprung ausgeführt und befindet sich in derselben Phase wie die aktuelle Regel.
Ausführen. Es ist der Pfad zu einem LUA-Skript. Das Skript muss zuvor auf den Load Balancer hochgeladen werden. Es wird ausgeführt, sobald die erste Übereinstimmung erreicht ist.
Log. Wenn dieser Parameter aktiviert ist, wird die Regel protokolliert, wenn die erste Übereinstimmung erreicht wird.
Bearbeiten einer WAF-Regel in RAW
Wenn das Formular eine bestimmte WAF-Regel nicht angemessen beschreibt und der Administrator nicht mit der SecLang Syntax ist es möglich, Regeln oder einen Stapel von Regeln über die Bearbeitungsoption zu erstellen. Dieses Feld akzeptiert alle Anweisungen. Wenn die Anweisungen und Parameter von der unterstützt werden SecLang Syntax, werden die im Formular ausgedrückten Parameter nicht angezeigt. Sie werden jedoch im Bearbeitungsformular angezeigt und zur Laufzeit verarbeitet.
Hier sind die Beispiele sowohl im Formularmodus als auch im Rohmodus.
Formularmodus
Dieser Modus ist benutzerfreundlicher, um eine WAF-Regel zu bearbeiten.
Raw-Modus
Dieser Modus ist für fortgeschrittene Benutzer.
Erstellen einer WAF-Regel
Wenn eine neue Regel hinzugefügt wird, wird sie hinzugefügt, indem sie an die anderen Regeln der Sätze angehängt wird. Um eine neue Regel zu erstellen, gibt es drei Möglichkeiten, eine neue Regel zu erstellen.
Regeltyp:
- Action. Es wird eine Grundregel mithilfe eines Formulars erstellt. Die Parameter des Formulars sind die gleichen, die in der erklärt werden Liste der WAF-Regeln Sektion. Wenn die Ausführung der Regel bedingt ist, klicken Sie auf Bedingung hinzufügen Schaltfläche, um die Ausführungsbedingungen festzulegen.
- Tobias. Es setzt eine Firewall-Marke. Diese Markierungen werden verwendet, sobald eine Übereinstimmungsbedingung erreicht ist. Der erwartete Parameter ist der Name, der die Marke identifiziert.
- Maßgeschneidert. Dieses Formular akzeptiert Regeln (und eine Reihe von Regeln) der SecLang-Syntax. Für weitere Informationen über die SecLang Syntax, besuchen Sie die Dokumentation zum libmodsecurity-Projekt.
Liste der Bedingungen
Die Tabelle in der Abbildung unten zeigt eine Liste von Bedingungen, die das geparste HTTP-Paket erfüllen muss, damit die Regel angewendet wird. Alle diese Matches werden in der in der Regel definierten Phase ausgeführt. Die Übereinstimmungen werden nacheinander überprüft und die Regel wird angewendet, wenn alle erfüllt sind.
Um die Übereinstimmung auszuwerten, führt die WAF eine Operation aus (parameters Operator und Betriebs) gegen eine Liste von Variablen. Wenn einige Variablen in der Liste der Operation entsprechen, werden sie als erfolgreich betrachtet. In der folgenden Abbildung beispielsweise die Kopfzeile IMAGES werden in der Liste der vom Client gesendeten Anforderungsheader gesucht. Zuerst dekodiert es alle 64 Basen jedes Headers und wandelt dann die Header in Kleinbuchstaben um. Wenn die Transformation der Variablen abgeschlossen ist, wird ein regulärer Ausdruck angewendet, der nach der Zeichenfolge sucht Bilder in der Liste der transformierten Variablen. Das Multi-Match Die Option versucht eine Übereinstimmung für jede Transformationsoperation (nach der 64-Basisdecodierung und nach der Konvertierung in Kleinbuchstaben).
Bedingungen schaffen
Die Übereinstimmung bildet eine Bedingung, die erfüllt werden muss, um die WAF-Regel auszuführen. Um die Übereinstimmung auszuwerten, führt die WAF eine Operation aus (parameters Operator und die) gegen eine Liste von Variablen. Wenn es eine Übereinstimmung zwischen den Operationen und den Variablen der Liste gibt, wird die Übereinstimmung als erfolgreich gewertet. Suchen Sie zum Beispiel nach dem lokaler Host (127.0.0.1) In der Anforderungsheaderliste und im HTTP-Feld des virtuellen Hosts kann es mit der folgenden Konfiguration ausgewertet werden.
Dies sind die Konfigurationsparameter zum Einstellen von Bedingungen:
Variable. Es schlägt vor, welchen Teil der HTTP-Transaktion die Regel abzugleichen versucht. Sie können aus den aufgelisteten Variablen auswählen, und die Übereinstimmungen werden als gültig angesehen, wenn einige von ihnen übereinstimmen. Wenn Sie durch das Variablenfeld klicken, wird ein Dropdown-Menü angezeigt. Informationen zur Variablenkonfiguration finden Sie in der Variablen erstellen .
Transformationen. Die Transformation ist eine Liste von Modifikationen, die auf Variablen angewendet werden. Transformationen werden nacheinander in derselben Reihenfolge angewendet, die im Feld angezeigt wird, und es ist möglich, eine Übereinstimmung für jede angewendete Transformation mit der Multi-Match-Option zu versuchen. Die Transformation ändert keine Informationen der HTTP-Transaktion, sie werden in zeitlichen Kontexten gespeichert und entfernt, sobald die Operation abgeschlossen ist. Hier ist eine Liste der Transformationen. Dieser Parameter wird zum Entfernen von Anti-Avoid-Techniken oder zum Entfernen von Kodierungsdaten verwendet.
Operator. So versucht die Regel die Übereinstimmung. Dieser Parameter wird normalerweise mit dem kombiniert Betriebs. Hier ist eine Liste von Operatoren.
Betriebs. Das versuchen die Regeln im Spiel. Der Parameter wird normalerweise mit dem Operator kombiniert. Der Typ des Erwartungswerts muss mit dem Operator übereinstimmen.
Multi-Match. Dieser Parameter wird verwendet, wenn mehr als eine Umwandlung konfiguriert ist. Die Regel versucht, die Variablen abzugleichen, die OperatorUnd der Betriebs für jeden Wert von Transformationen. Die möglichen Werte sind: true, wodurch Multi-Match aktiviert wird, oder false, wodurch die Multi-Match-Funktion deaktiviert wird.
Nicht übereinstimmen. Wenn dieses Kontrollkästchen aktiviert ist, wird das Ergebnis des Abgleichs negiert und in umgewandelt was immer dies auch sein sollte. wenn das Ergebnis ist falsch oder konvertieren zu falsch wenn das Ergebnis ist was immer dies auch sein sollte..
Variablen erstellen
Die Variablen sind obligatorische Parameter in einer Übereinstimmungsbedingung. Sie wählen den Teil des HTTP aus Anforderung/Antwort um nach den Informationen zu suchen.
Variablen. Dieser Parameter gibt das Feld der HTTP-Anfrage/Antwort an, um nach Informationen zu suchen (Zeit, Server…)
Das Argument der Variablen. Wenn eine Variable ausgewählt wird, ist es manchmal notwendig, ein Element davon anzugeben. Das folgende Bild zeigt beispielsweise, wie der Anforderungsheader Gastgeber ist ausgewählt markiert.
Elemente von Variablen zählen. Dieses Kontrollkästchen zählt die Anzahl der Elemente in der Variablen. Diese Funktion ist nützlich, wenn die Variable eine Liste ist.
Ignorieren Sie diese Variable für die Übereinstimmung. Wenn dieses Kontrollkästchen aktiviert ist, wird die Variable im Vergleich nicht überprüft. Diese Funktion ist nützlich, wenn eine Variable, die eine Liste von Werten enthält, überprüft werden soll, aber auch erforderlich ist, um einen davon auszuschließen.
Variablentabelle
| Variable | Beschreibung |
|---|---|
| ARGS | Es ist eine Sammlung der Werte von Argumenten in einer Anfrage. |
| ARGS_JSON | Es ist eine Sammlung mit den Werten von Argumenten in einer JSON-Anforderung. Diese Variable ist verfügbar, falls WAF die JSON-Argumente analysiert. Der Regelsatz REQUEST-901-INITIALIZATION sollte aktiviert werden. |
| ARGS_COMBINED_SIZE | Gesamtgröße der Anforderungsparameter. Die Dateien sind ausgeschlossen. |
| ARGS_NAMES | Es ist eine Sammlung der Namen der Argumente in einer Anfrage. |
| DATEIEN | Es enthält die Dateinamen im Benutzer filesys. Nur wenn die Daten mehrteilig / Formulardaten sind. |
| FILES_COMBINED_SIZE | Dies ist die Gesamtgröße der Dateien in einer Anfrage. Nur wenn die Daten mehrteilig / Formulardaten sind. |
| FILES_NAMES | Es ist eine Liste von Dateinamen, die zum Hochladen der Dateien verwendet werden. Nur wenn die Daten mehrteilig / Formulardaten sind. |
| FILES_SIZES | Es enthält eine Liste der einzelnen Dateigrößen. Nur wenn die Daten mehrteilig / Formulardaten sind. |
| REQBODY_ERROR | Diese Variable ist 1, wenn das Format des Anforderungshauptteils für JSON oder XML nicht korrekt ist, andernfalls hat sie den Wert 0. |
| REQUEST_BODY | Es ist die Rohkörperanforderung. Wenn die Anfrage nicht den Header „application/x-www-form-urlencoded“ hat, muss „ctl:forceRequestBodyVariable“ in der Phase REQUEST_HEADER verwendet werden. |
| REQUEST_BODY_LENGTH | Dies ist die Anzahl der Bytes des Anforderungshauptteils. |
| REQUEST_COOKIES | Es ist eine Liste mit allen Request-Cookie-Werten. |
| REQUEST_COOKIES_NAMES | Es ist eine Liste mit allen Request-Cookie-Namen. |
| REQUEST_HEADERS | Diese Variable enthält alle Anforderungsheader. |
| REQUEST_HEADERS_NAMES | Diese Variable hat eine Liste mit den Header-Namen der Anfrage. |
| REQUEST_METHOD | Es ist die Anforderungsmethode. |
| REQUEST_PROTOCOL | Diese Variable enthält das HTTP-Anforderungsversionsprotokoll. |
| REQUEST_URI | Es ist der URI-Anforderungspfad. Der virtuelle Host ist ausgeschlossen. |
| PATH_INFO | Dies sind die Informationen vor dem URI-Pfad. |
| FULL_REQUEST | Es ist die volle Bitte. |
| FULL_REQUEST_LENGTH | Es ist die Anzahl von Bytes, die eine vollständige Anfrage haben kann. |
| RESPONSE_BODY | Es ist die Reaktion des rohen Körpers. |
| RESPONSE_CONTENT_LENGTH | Dies ist die Anzahl der Bytes des Antwortkörpers. |
| RESPONSE_HEADERS | Diese Variable enthält alle Antwortheader. |
| RESPONSE_HEADERS_NAMES | Diese Variable hat eine Liste mit den Namen der Antwortheader. |
| RESPONSE_PROTOCOL | Diese Variable enthält das Antwort-HTTP-Versionsprotokoll. |
| RESPONSE_STATUS | Es ist der Antwort-HTTP-Code. |
| REMOTE_ADDR | Es ist die IP-Adresse des Clients. |
| REMOTE_PORT | Dies ist der Port, an dem der Client die Verbindung initialisiert. |
| REMOTE_USER | Es ist der Name des authentifizierten Benutzers. |
| ZEIT- | Es ist die Serverzeit. Das Format ist Stunden: Minuten: Sekunden. |
| DAUER & GEHDISTANZ | Es ist die Anzahl von Millisekunden ab der Initiierungszeit der aktuellen Transaktion. |
| MULTIPART_FILENAME | Dies ist der Felddateiname in einer mehrteiligen Anforderung. |
| MULTIPART_NAME | Dies ist der Feldname in einer mehrteiligen Anforderung. |
| MATCHED_VAR | Es ist der übereinstimmende Wert in der letzten Übereinstimmungsoperation. Für diesen Wert ist keine Erfassungsoption erforderlich, er wird jedoch bei jeder Übereinstimmungsoperation ersetzt. |
| MATCHED_VARS | Es ist eine Liste aller übereinstimmenden Werte. |
| SERVER_ADDR | Es ist die IP-Adresse des Servers. |
| SERVER_NAME | Es ist der virtuelle Host, den er von der Anforderungs-URI erhält. |
| ENV | Es sind die Umgebungsvariablen der WAF. |
| TX | Es ist eine Sammlung von Variablen für die aktuelle Transaktion. Diese Variablen werden entfernt, wenn die Transaktion endet. Die Variablen TX:0-TX:9 speichern die mit den Operatoren strRegex oder phrases erfassten Werte. |
Tabelle der Operatoren
Die Operatoren können unterschiedliche Kontexte haben. Dieser Kontext wird durch ein Präfix angegeben, z. B. int für ganze Zahlen, IP für IP-Operationen, str für Zeichenfolgen oder validate, um Daten zu validieren.
| Variable | Beschreibung |
|---|---|
| strBegins | Die Regel stimmt überein, wenn eine der Variablen mit dem Wert von operating beginnt. |
| strContains | Die Regel stimmt überein, wenn eine der Variablen den Wert von operating enthält. |
| strContainsWord | Die Regel trifft zu, wenn eine der Variablen das Wort oder den Wert der Operation enthält. |
| strEnd | Die Regel stimmt überein, wenn eine der Variablen mit dem Wert von operating endet. |
| innerhalb | Die Regel trifft zu, wenn eine der Variablen mit dem Wert „operating“ beginnt. |
| strMatch | Die Regel trifft zu, wenn eine der Variablen mit dem Wert von operating übereinstimmt. Diese Operation kann eine Liste von Zeichenfolgen sein, die durch das Zeichen geteilt wird | |
| strEq | Die Regel trifft zu, wenn eine der Variablen mit dem Wert der Operation identisch ist. |
| strRegex | Die Regel trifft zu, wenn eine der Variablen mit dem regulären Ausdruck übereinstimmt, der bei der Operation verwendet wird. |
| strPhrases | Die Regel trifft zu, wenn eine der Variablen mit einem der Werte der Listenoperation übereinstimmt. |
| strPhrasesFromFile | Fast ähnlich dem Operator strPhrases, aber die Operation ist dort, wo es als eine Liste von Phrasen definiert wird. |
| intEQ | Die Regel stimmt überein, wenn eine der Variablen der im Betrieb verwendeten Anzahl entspricht. |
| intGE | Die Regel stimmt überein, wenn eine der Variablen größer oder gleich der im Betrieb verwendeten Anzahl ist. |
| intGT | Die Regel stimmt überein, wenn eine der Variablen größer ist als die im Betrieb verwendete Anzahl. |
| intLE | Die Regel stimmt überein, wenn eine der Variablen kleiner oder gleich der im Betrieb verwendeten Anzahl ist. |
| intLT | Die Regel stimmt überein, wenn eine der Variablen kleiner als die im Betrieb verwendete Anzahl ist. |
| detectSQLi | Erkennt eine SQL-Injection in der Liste der Variablen. Dieser Operator erwartet keine Bedienung. |
| detectXSS | Wendet die Erkennung der XSS-Injektion auf die Liste der Variablen an. Dieser Operator erwartet keine Bedienung. |
| ipMatch | Versucht, die IP- oder Netzwerksegmente des Betriebs mit der Variablenliste abzugleichen. |
| ipMatchFromFile | Es ist dasselbe wie der Operator ipMatch, aber dieser versucht den Abgleich der Variablen mit einer Datei mit einer Liste von IPs und Netzwerksegmenten. |
| validateByteRange | Es sorgt dafür, dass die Byteanzahl der Variablen in einem der Betriebswerte liegt. Ein Beispiel für die Bedienung ist „10, 13, 32-126“. |
| validateUrlEncoding | Es validiert verschlüsselte Daten. Dieser Operator darf nur für Daten verwendet werden, die Daten nicht gemeinsam codieren, oder für Daten, die mehrfach codiert werden. |
| validateUtf8Encoding | Es validiert Variablen, die UTF-8 sind. Dieser Operator erwartet keine Bedienung. |
| verifyCreditCard | Es überprüft, ob Variablen Kreditkartennummern sind. Dieser Parameter akzeptiert einen regulären Ausdruck als Funktion. Wenn es übereinstimmt, wird die Karte erfolgreich überprüft. |
| VerifySSN | Es wird überprüft, ob Variablen eine US-Sozialversicherungsnummer sind. Dieser Parameter akzeptiert einen regulären Ausdruck als operativ. Wenn er übereinstimmt, wird die SSN-Überprüfung angewendet. |
| matchAllways | Es gibt immer true zurück und erzwingt eine Übereinstimmung. |
| matchNever | Es gibt immer false zurück und erzwingt eine Nichtübereinstimmung. |
Tabelle der Transformation
| Transformation | Beschreibung |
|---|---|
| base64Decode | Dekodiert einen Base64-kodierten String. |
| base64DecodeExt | Dekodiert eine Base64-kodierte Zeichenfolge, wobei ungültige Zeichen ignoriert werden. |
| sqlHexDecode | Dekodiert SQL-Hex-Daten. |
| base64Encode | Codiert mit Base64-Codierung. |
| cmdLine | Vermeidet die mit der maskierten Befehlszeile verbundenen Probleme. |
| compressWhitespace | Konvertiert alle Leerzeichen (0x20, \ f, \ t, \ n, \ r, \ v, 0xa0) in Leerzeichen (ASCII 0x20) und komprimiert mehrere aufeinanderfolgende Leerzeichen in eines. |
| cssDecode | Dekodiert Zeichen, die mit den Escape-Regeln von CSS 2.x kodiert wurden. Diese Funktion verwendet nur bis zu zwei Bytes im Decodierungsprozess, was bedeutet, dass sie verwendet wird, um ASCII-Zeichen aufzudecken, die mit CSS-Codierung codiert wurden (die normalerweise nicht codiert würden), oder um Umgehung entgegenzuwirken, was eine Kombination aus einem Backslash und Non ist -hexadezimale Zeichen (z. B. ja\vascript entspricht javascript). |
| escapeSeqDecode | Dekodiert ANSI C-Escape-Sequenzen: \ a, \ b, \ f, \ n, \ r, \ t, \ v, \\, \?, \ ', \ ", \ XHH (hexadezimal), \ 0OOO (oktal) . In der Ausgabe verbleiben ungültige Codierungen. |
| hexDecode | Dekodiert einen String, der mit demselben Algorithmus wie der in hexEncode verwendete kodiert wurde (siehe folgenden Eintrag). |
| hexEncode | Codiert Zeichenfolgen (möglicherweise mit Binärzeichen), indem jedes Eingabebyte durch zwei Hexadezimalzeichen ersetzt wird. Beispielsweise wird xyz als 78797a codiert. |
| htmlEntityDecode | Dekodiert die als HTML-Entitäten kodierten Zeichen. |
| jsDecode | Dekodiert JavaScript-Escape-Sequenzen. |
| Länge | Sucht die Länge der Eingabezeichenfolge in Bytes und platziert sie (als Zeichenfolge) in der Ausgabe. |
| Klein | Konvertiert alle Zeichen in Kleinbuchstaben unter Verwendung des aktuellen C-Gebietsschemas. |
| md5 | Berechnet einen MD5-Hash aus der Dateneingabe. Der berechnete Hash liegt in einer rohen Binärform vor und muss möglicherweise in den zu druckenden (oder zu protokollierenden) Text codiert werden. Hash-Funktionen werden häufig in Kombination mit hexEncode verwendet. |
| keine | Keine eigentliche Transformationsfunktion, sondern eine Anweisung zum Entfernen früherer Transformationsfunktionen, die der aktuellen Regel zugeordnet sind. |
| normalizePath | Entfernt mehrere Schrägstriche, Verzeichnisselbstverweise und Verzeichnisrückverweise (außer am Anfang der Eingabe) aus der Eingabezeichenfolge. |
| normalizePathWin | Entspricht normalizePath, konvertiert jedoch zuerst umgekehrte Schrägstriche in Schrägstriche. |
| parityEven7bit | Berechnet die gerade Parität von 7-Bit-Daten und ersetzt das 8. Bit jedes Zielbytes durch das berechnete Paritätsbit. |
| parityOdd7bit | Berechnet die ungerade Parität von 7-Bit-Daten und ersetzt das 8. Bit jedes Zielbytes durch das berechnete Paritätsbit. |
| parityZero7bit | Berechnet die Nullparität von 7-Bit-Daten, wobei das 8. Bit jedes Zielbytes durch ein Nullparitätsbit ersetzt wird, was die Untersuchung von 7-Bit-Daten mit gerader/ungerade Parität als ASCII7-Daten ermöglicht. |
| removeNulls | Entfernt alle NUL-Bytes von der Eingabe. |
| removeWhitespace | Entfernt alle Leerzeichen aus der Eingabe. |
| replaceComments | Ersetzt jedes Vorkommen eines Kommentars im C-Stil (/ *… * /) durch ein einzelnes Leerzeichen (mehrere aufeinanderfolgende Vorkommen werden nicht komprimiert). Nicht abgeschlossene Kommentare werden ebenfalls durch Leerzeichen ersetzt (ASCII 0x20). Eine eigenständige Kündigung eines Kommentars (* /) wird jedoch nicht berücksichtigt. |
| removeCommentsChar | Entfernt häufig verwendete Kommentarzeichen (/ *, * /, -, #). |
| replaceNulls | Ersetzt NUL-Bytes in der Eingabe durch Leerzeichen (ASCII 0x20). |
| urlDecode | Dekodiert eine URL-kodierte Eingabezeichenfolge. Ungültige Codierungen (dh solche, die nicht hexadezimale Zeichen verwenden oder bei denen ein oder zwei Byte fehlen) werden nicht konvertiert, aber es wird kein Fehler ausgegeben. |
| Groß | Konvertiert alle Zeichen in Großbuchstaben unter Verwendung des aktuellen C-Gebietsschemas. |
| urlDecodeUni | Wie urlDecode, aber mit Unterstützung für die Microsoft-spezifische %, u-Kodierung. |
| urlEncode | Codiert die Eingabezeichenfolge mithilfe der URL-Codierung. |
| utf8toUnicode | Konvertiert alle UTF-8-Zeichenfolgen in Unicode. Dies hilft bei der Eingabenormalisierung, insbesondere für nicht-englische Sprachen, wodurch falsch positive und falsch negative Ergebnisse minimiert werden. |
| sha1 | Berechnet einen SHA1-Hash aus der Eingabezeichenfolge. Der berechnete Hash liegt in einer rohen binären Form vor und muss möglicherweise in den zu druckenden (oder zu protokollierenden) Text codiert werden. Hash-Funktionen werden üblicherweise in Kombination mit hexEncode verwendet. |
| trimLeft | Entfernt Leerzeichen von der linken Seite der Eingabezeichenfolge. |
| trimRight | Entfernt Leerzeichen von der rechten Seite der Eingabezeichenfolge. |
| trimmen | Entfernt Leerzeichen sowohl auf der linken als auch auf der rechten Seite der Eingabezeichenfolge. |
WAF-Einstellungen für Farmen
In diesem Abschnitt können Sie den aktuellen WAF-Regelsatz den HTTP-Farmen zuweisen.
In diesem Abschnitt können Sie eine oder mehrere Farmen auswählen (indem Sie die Umschalttaste auf der Tastatur gedrückt halten) und dann den WAF-Regelsatz zuweisen oder entfernen. Es ist auch möglich, es mit den Doppelpfeiltasten allen verfügbaren Farmen zuzuweisen oder zu entfernen.