IPDS | WAF

GESCHRIEBEN VON Zevenet | 13. März 2020

Die Web Application Firewall, WAFist das Tool zum Erkennen und Blockieren von böswilligem HTTP-Verkehr, der über die HTTP (S) -Farmen geleitet wird. WAF sucht und analysiert Muster mit dem Ziel, erweiterte Sicherheitsrichtlinien anzuwenden. Diese Regeln sind in festgelegten Regeln zusammengefasst und müssen auf HTTP-Farmen angewendet werden. Die WAF-Regeln werden nach dem Entschlüsseln von SSL-Paketen überprüft. Anschließend können Muster in einem SSL-Verkehr erneut auf den HTTP-Body angewendet werden.

Das Zevenet IPDS-Paket enthält die OWAS ModSecurity-Regeln. Sie können jedoch einen eigenen Regelsatz erstellen, um Ihr System vor Angriffen jeglicher Art zu schützen. Wenn Sie mehr über OWASP-Regeln erfahren möchten, lesen Sie bitte OWASP Modsecurity-Projekt.

Diese Regeln sind nach Präferenzen geordnet. Wenn Sie sie verwenden möchten, beachten Sie bitte, dass Sie sie wie folgt anwenden:

REQUEST-90-CONFIGURATION
REQUEST-901-INITIALIZATION
Apply any other OWASP ruleset based on what you want to protect
REQUEST-949-BLOCKING-EVALUATION
RESPONSE-959-BLOCKING-EVALUATION
RESPONSE-980-CORRELATION *for logging purpose, enable this only for troubleshooting.

Standardmäßig verwendet dieser OWASP-Regelsatz ein Bewertungssystem namens Paranoia-Levels. Standardmäßig 1. Wenn Sie mehr über diese Levels erfahren möchten, lesen Sie bitte die folgenden FAQs:

Häufig gestellte Fragen zum OWASP Modsecurity-Regelsatz

Wenn Sie dieses Paranoia-Level erhöhen möchten, gehen Sie bitte wie folgt vor:

Gehen Sie zu Regelsatz REQUEST-901-INITIALIZATION, Tab Rules, Bearbeiten Sie im Rohmodus die Regelnummer 901120 und ändern Sie:

setvar:'tx.paranoia_level=1

durch das gewünschte Paranoia-Level.

In der Ansicht WAF-Regelsätze wird eine Übersicht der verfügbaren Regelsätze angezeigt:

IDPS-Einstellungen

NAME. Die Identifizierung des Regelsatznamens ist ein beschreibender Name für die Art der Regeln, die der Satz enthält. Klicken Sie darauf, um zum Bearbeitungsformular zu gelangen.
FARMEN. Die Farmen, auf die die Regel angewendet wird. Dieses Feld kann mit dem kleinen Symbol (kleine Pfeile) auf der rechten Seite des Symbols erweitert werden FARMEN Spaltenüberschrift. Standardmäßig sind nur 20-Zeichen zulässig. Wenn die Liste der Betriebe länger ist, sind möglicherweise einige von ihnen ausgeblendet. Verwenden Sie dieses kleine Symbol, um die Ansicht zu erweitern.
STATUS. Der Regelsatzstatus wird durch die folgenden Statusfarbcodes dargestellt:

  • Grün: Meint AKTIVIERT. Der Regelsatz wird tatsächlich auf die Farmen überprüft, die ihn verwenden.
  • Rot: Meint GESPERRT. Der Regelsatz ist nicht aktiviert und hat daher keine Auswirkungen auf die Farm.

AKTIONEN. Zulässige Aktionen für den Status der WAF-Regeln:

  • Bearbeiten. So ändern Sie die Regelsatzeinstellungen oder weisen bei Bedarf einen Farmdienst zu
  • Löschen. Entfernen Sie einen Regelsatz.
  • Ermöglichen. So aktivieren Sie den WAF-Satz für alle Farmen, in denen er angewendet wird.
  • Deaktivieren. Deaktivieren des WAF-Sets für alle Farmen, in denen es angewendet wird.
Teilen:

Dokumentation unter den Bedingungen der GNU Free Documentation License.

War dieser Artikel hilfreich?

Verwandte Artikel