梭子魚(yú)WAF策略解釋

1、梭子魚(yú)WAF策略解釋梭子魚(yú)WAF策略主要有以下9類(lèi)： Http 請(qǐng)求限制(Request Limits) Cookie 防護(hù)(Cookie Security) URL 防護(hù)(URL Protection) 動(dòng)作策略(Action Policy) 全局 ACL(Global ACLs) URL 標(biāo)準(zhǔn)化(URL Normalization) 網(wǎng)站隱身(Cloaking) 參數(shù)防護(hù)(Parameter Protection) 數(shù)據(jù)竊取防護(hù)(Data Theft Protection)下面分別對(duì)這9種策略?xún)?nèi)容展開(kāi)進(jìn)行說(shuō)明：1. Http 請(qǐng)求限制(Request Limits)該策略用于定義進(jìn)入的Ht

2、tp請(qǐng)求頭字段內(nèi)容，通過(guò)定義的值來(lái)驗(yàn)證進(jìn)入的Http請(qǐng)求是否符合要求.Http請(qǐng)求信息報(bào)頭中可能包含一些惡意的代碼這個(gè)策略預(yù)防惡意的請(qǐng)求代碼通過(guò)適當(dāng)?shù)呐渲孟拗茢?shù)值，可以緩解或防止Dos攻擊比定義數(shù)值大的請(qǐng)求將被丟棄當(dāng)前設(shè)置的默認(rèn)值擔(dān)任防護(hù)大于任何潛在的緩存溢出攻擊如果服務(wù)或者真實(shí)服務(wù)器的值大于當(dāng)前梭子魚(yú)WAF設(shè)備上所設(shè)定的值時(shí)此默認(rèn)的Http請(qǐng)求值方可進(jìn)行修改.注：如果想要去關(guān)閉某項(xiàng)策略使其對(duì)進(jìn)入的Http請(qǐng)求不進(jìn)行檢查，可以將該項(xiàng)后面的值設(shè)置為空.開(kāi)啟請(qǐng)求限制(Enable Request Limits):此項(xiàng)策略去啟用Http請(qǐng)求大小的限定.當(dāng)狀態(tài)為Off時(shí)，潛在的惡意緩存溢出攻擊可能會(huì)偷

3、偷的通過(guò).故該值設(shè)置為 On是我們推薦的.汗HtEPT：壬云亍*衣牧3同即茨崔，：蚤坦壬咬毎婕狡互孑述屮31匕緯51三，衛(wèi)轉(zhuǎn)WPS 1!.I-T：?jiǎn)J請(qǐng)求最大長(zhǎng)度(Max Request Length):該項(xiàng)策略定義最大可允許的請(qǐng)求長(zhǎng)度.它包含Http請(qǐng)求行(請(qǐng)求行=請(qǐng)求方法空格請(qǐng)求URI 空格版本號(hào)回車(chē)換行)和Http請(qǐng)求頭(User Age nt. Cookies, Referer等)，這個(gè)請(qǐng)求限制的長(zhǎng)度不包含請(qǐng)求的實(shí)體內(nèi)容(Request body).最具有代表性的如POST請(qǐng)求.任何請(qǐng)求，其長(zhǎng)度超限將被阻斷 .該值的設(shè)置范圍為1-65536(Bytes)同樣的該值為空表示沒(méi)有限制.-WI

4、 口1耳* y備求矗犬長(zhǎng)IS32禪屯恬灣聶審的卜規(guī)脊，怎不蟲(chóng)?S講決帥英汩.3CT6S32k)請(qǐng)求行最大長(zhǎng)度(Max Request Line Length):該項(xiàng)策略定義最大可允許的請(qǐng)求行長(zhǎng)度.請(qǐng)求行由請(qǐng)求方式、URL和Http版本例如：GET /index.cgi?page=home HTTP/1.1, 在這個(gè)請(qǐng)求行當(dāng)中，GET為請(qǐng)求的方式，/index.cgi?page=home 為 URL , HTTP/1.1 為 HTTP 版本該值的設(shè)置范圍為 1-65536(Bytes)同樣的該值為空表示沒(méi)有限制睛習(xí)(節(jié)H大悵處4Q矢謂歩行呈牌廉*的幫一廳爸廚腳Md、URL*HTTP翌*量我淸來(lái)吁

5、&曳邑誰(shuí)勺爲(wèi)燦F1L倒S適慎URL最大長(zhǎng)度(Max URL Length):該項(xiàng)策略定義最大可允許的URL長(zhǎng)度，檢查 URL請(qǐng)求的字符串該值的設(shè)置范圍為1-8192(Bytes),該值為空表示沒(méi)有限制URL最先長(zhǎng)IEB*UF：Hc.噸年 4056查詢(xún)字符串最大長(zhǎng)度(Max Query Length):該項(xiàng)策略定義最大可允許的URL請(qǐng)求字符串長(zhǎng)度,其設(shè)置的范圍為1-60000(Bytes),該值為空表示沒(méi)有限制最多Cookie個(gè)數(shù)(Max Number of Cookies):該項(xiàng)策略定義最大可被允許的Cookie個(gè)數(shù)，其設(shè)置范圍為1-1024(Bytes),該值為空表示沒(méi)有限制 (Cookie

6、是用來(lái)保存狀態(tài)信息的，是保存客戶(hù)端狀態(tài)的機(jī)制，其與Session大體功能一樣，但也有一些區(qū)別但他們都是為了解決Http無(wú)狀態(tài)的問(wèn)題而做努力的 Cookies是服務(wù)器在本地機(jī)器上存儲(chǔ)的小段文本并隨每一個(gè)請(qǐng) 求發(fā)送至同一個(gè)服務(wù)器。Cookie最早在RFC2109中實(shí)現(xiàn)，后續(xù)RFC2965做了增強(qiáng)。網(wǎng)絡(luò)服 務(wù)器用HTTP頭向客戶(hù)端發(fā)送cookies，在客戶(hù)終端，瀏覽器解析這些cookies并將它們保存 為一個(gè)本地文件，它會(huì)自動(dòng)將同一服務(wù)器的任何請(qǐng)求縛上這些cookies)Ugieifi晟犬長(zhǎng)13*096m-bigtx亙57上-衣亡，西甘4396Ugieifi晟犬長(zhǎng)13*096m-bigtx亙57上-

7、衣亡，西甘4396Cookie名最大長(zhǎng)度(Max Cookie Name Length):該項(xiàng)策略定義最大可被允許的Cookie名稱(chēng)長(zhǎng)度其值設(shè)置范圍為1-1024(Bytes),該值為空表示沒(méi)有限制Cost冃屯最尢長(zhǎng)ISCookie值最大長(zhǎng)度(Max Cookie V alue Length):該策略定義最大可允許的Cookie值長(zhǎng)度.其設(shè)置范圍為1-32678(Bytes),該值為空表示沒(méi)有限制Ugieifi晟犬長(zhǎng)13*096m-bigtx亙57上-衣亡，西甘4396最多報(bào)頭個(gè)數(shù)(Max Number of Headers):該項(xiàng)策略定義請(qǐng)求中最大可被允許的Header值.如果請(qǐng)求中的報(bào)頭大

8、于所設(shè)定的這個(gè)值，則該Http請(qǐng)求將被阻斷其值設(shè)置范圍為1-40(Bytes),Jll該值為空表示沒(méi)有限制報(bào)頭名最大長(zhǎng)度其值設(shè)置范圍為(Max Header Name Length):該項(xiàng)策略疋義請(qǐng)求中報(bào)頭名稱(chēng)允許的最大長(zhǎng)度.1-1024(Bytes),為空表示沒(méi)有限制.抿頭世fl犬錢(qián)度32K蟲(chóng)課斗電乎？吠主等：32電必丁一y嚥展芽乞色崔客恵頭幾赴年霍!i飛處:宜實(shí).港# 26報(bào)頭值最大長(zhǎng)度(Max Header Value Length):該項(xiàng)策略定義請(qǐng)求中最大允許的請(qǐng)求頭的長(zhǎng)度， 請(qǐng)求頭可以是任意一個(gè)HTTP協(xié)議頭(例如：Host、User-Age nt等或者是定制的報(bào)頭如IISTran

9、slate頭).注意：該項(xiàng)設(shè)置不適應(yīng)于 Cookies .其設(shè)置范圍為1-8192(Bytes),該值為空表 示沒(méi)有限制.抿頭追星大浪度512足乳可我！最咒姪寶.童力codde爭(zhēng)曲-*5： 5122. Cookie 防護(hù)(Cookie Security)Cookie是用來(lái)保存狀態(tài)信息的，使用Cookie在客戶(hù)端存儲(chǔ)服務(wù)狀態(tài)信息(如瀏覽器和其 它客戶(hù)端代理)，Cookie存儲(chǔ)用戶(hù)信息、購(gòu)物事項(xiàng)和一些非常敏感的信息 (例如注冊(cè)和登陸 信息) 如果機(jī)構(gòu)的Cookie被暴露，這時(shí)用戶(hù)的內(nèi)容將很容易被攻擊.Cookie防護(hù)將可以保護(hù)Cookie信息的安全.Cookie是一個(gè)簡(jiǎn)單的TXT文件，它能很容易的

10、被改變， 使用它去進(jìn)行 Web攻擊.Cookie 當(dāng)中敏感的信息也很容易被竊取，例如客戶(hù)端信息可以從信息中獲取，所以使用Cookie防護(hù)策略來(lái)對(duì)Cookie進(jìn)行保護(hù).這個(gè)策略可以減少使用 HTTP Cookie進(jìn)行跨站腳本攻擊(Cross Site Scripting Attacks)行 為的發(fā)生.它保證機(jī)密的Cookie信息且避免Cookie值被篡改.這個(gè)策略不能阻止 Cookie 重放攻擊.Cookie保護(hù)模式(Tamper Proof Mode):該策略定義哪些 Cookie將被加密或簽名，當(dāng)服務(wù)器 插入了一個(gè)Cookie梭子魚(yú)WAF截獲其響應(yīng)，對(duì)插入的Cookie進(jìn)行加密然后發(fā)送經(jīng)過(guò)加

11、密后的Cookie給瀏覽器.此時(shí)濟(jì)覽器存儲(chǔ)的是經(jīng)過(guò)加密的Cookie因此用戶(hù)的真實(shí) Cookie信息被隱藏.每當(dāng)Http請(qǐng)求攜帶加密的 Cookie梭子魚(yú) WAF將截獲該請(qǐng)求，對(duì)Cookie進(jìn)行解 密然后發(fā)送給服務(wù)器。如果Cookie是被篡改過(guò)的，梭子魚(yú)WAF對(duì)Cookie解密將失敗，Cookie保護(hù)模式使用額外的算法對(duì)Cookie進(jìn)行加密和解密。Cookie過(guò)期時(shí)間(Cookie Max Age):該項(xiàng)策略用來(lái)定義 Cookie過(guò)期的時(shí)間，Session Cookie 指那些沒(méi)有定義任何過(guò)期時(shí)間的服務(wù)器，正常的，當(dāng)瀏覽器關(guān)閉瀏覽器會(huì)忘記Cookie.但是服務(wù)器還是會(huì)永遠(yuǎn)的存放Cookie.這

12、個(gè)策略將強(qiáng)制地定義 Session Cookie在所設(shè)置的時(shí)間以后過(guò)期.注：cookie過(guò)期的時(shí)間也可以在服務(wù)器上面進(jìn)行設(shè)置，梭子魚(yú)WAF該項(xiàng)策略的設(shè)置也基于服務(wù)器，該項(xiàng)策略值設(shè)置范圍為0-500000(分鐘)144Q暹幽棗曲誕左脾嚴(yán)層邨1第耳知 謖竜一嗆土矚時(shí)叭 嘯于哉育綜鷲士 iIj.樟耳：M和卄門(mén)電Cookie重放保護(hù)(Cookie Replay Protection Type): 此項(xiàng)策略定義防護(hù)類(lèi)型來(lái)防止Cookie重放攻擊梭子魚(yú)WAF啟用該項(xiàng)策略去對(duì) header值進(jìn)行編碼或者通過(guò)對(duì)發(fā)送到客戶(hù)端的IP地址進(jìn)行編碼來(lái)驗(yàn)證進(jìn)入的 Cookie ，如果IP地址或header值不匹配那么梭

13、子魚(yú) WAF將阻斷 它.自定義苦部WccKikje只是極JfHTTPHTTPH金權(quán)倉(cāng) TTT艮蘭僅弓和*tQCMe=?5*：-5KUnf 1-1!*.窘Z總捋世HTTPSSHrrpf7-iswneP自定義首部(Custom Headers)該項(xiàng)策略用于定義想要過(guò)濾的Cookie報(bào)頭，設(shè)置該項(xiàng)策略的前提是 Cookie重放保護(hù)設(shè)置為 IP或自定議報(bào)頭項(xiàng).例如：User-Age nt , X-Forwarded-For目定丸首訓(xùn)imA安全cookie ( Secure Cookie):僅僅定義 Https的安全特征.在使用HTTPs時(shí)告之瀏覽器返回Cookie ,如果使用的是 HTTp則不返回.安

14、全COOkiHTTPSiJ-E-i，養(yǎng)知工見(jiàn)吐HTTPSP*.cookie.左HTTPt 廠逞國(guó)tocfciE只是接受HTTP( HTTP Only):該項(xiàng)策略定義對(duì)HTTp連接是否對(duì)其 Cookie進(jìn)行安全防護(hù).2.是櫻覺(jué)IHTTP是否您x畑豐獷聲協(xié)。毎止ksMO*.口鷲JflNA&tnpliSim.椎澤：冒允許無(wú)法識(shí)別的 cookie(Allow Un recog nized Cookies):該項(xiàng)策略設(shè)置定義梭子魚(yú) WAF對(duì)無(wú)法 識(shí)別Cookie的處理動(dòng)作.如果選擇總是允許梭子魚(yú) WAF將總是允許無(wú)法識(shí)別的 Cookie. 如果選擇總是拒絕那么梭子魚(yú) WAF將丟棄該Cookie并且記錄在

15、 Web-firewall日志當(dāng)中.當(dāng)選擇為客戶(hù)自定義時(shí)，需要手動(dòng)定義應(yīng)用該策略的天數(shù)，你可以定義無(wú)法識(shí)別的 Cookie在設(shè)置該項(xiàng)天數(shù)值之后開(kāi)始允許.2是柜繩 9是ftiX a自定買(mǎi)當(dāng)君啟gheE檔 隹于直才葩邑打JH秤旦質(zhì)箏；応的ccwMa-叵蘭忑足工X 對(duì)送出曾樣作掃童理 営空碎亍天首汗為光許.Cookie白名單也叫 Cookie免除(Cookies Exempted):該項(xiàng)設(shè)置用于定義需要被免除的Cookie，來(lái)跳過(guò)梭子魚(yú) WAF的檢查.3. URL 防護(hù)(URL Protection)該項(xiàng)策略用于保護(hù)服務(wù)在URL Profile缺失情況下避免其遭受Web攻擊。當(dāng)Profile文件沒(méi)有

16、被使用，這個(gè)設(shè)置代替URL Profile設(shè)置來(lái)保護(hù) Web服務(wù)器.開(kāi)啟URL防護(hù)(Enable URL Protection):該項(xiàng)設(shè)置定義是否啟用URL防護(hù)功能.* JS用 坯用允許的請(qǐng)求方式(Allowed Methods): 該項(xiàng)策略用來(lái)定義哪些請(qǐng)求方式梭子魚(yú)WAF可以允許.這個(gè)設(shè)置可以讓梭子魚(yú) WAF去允許或者不允許某種請(qǐng)求方式。例如：您沒(méi)有配置PUT 在這個(gè)請(qǐng)求列表中，那么梭子魚(yú) WAF將阻止試圖上傳文件的請(qǐng)求方式 .同樣的，例如阻止CONNECT 方式，那么梭子魚(yú) WAF將阻斷任何試圖通過(guò)與服務(wù)器建立tunnel的方式該問(wèn)服務(wù)器.AJkjwfid MethodsAddGET仃P(guān)O

17、ST仃A iw off bIo*isW&sn W raquBK The nwt coww mathods ere getPOST end HCaC Special appiic-Blions requme attw metlrads tDbe aJkwrd允許內(nèi)容類(lèi)型(Allowed Content Types):定義在URL在POST body時(shí)允許的內(nèi)容類(lèi)型容類(lèi)型這些內(nèi)容類(lèi)型是梭子魚(yú) WAF公認(rèn)的.托說(shuō)內(nèi)罟糞!內(nèi)容最大長(zhǎng)度JjaA 1applicaijQn/x-AWrti-fQrm-urtBnGadedumijMpanrni-datantextfttmln?cljP05T屮吝m“appik

18、比nn/x-p*i耐-幻urierKoded兩Vrwlliparirfwmdair呂吾玄臭:時(shí)肛喜見(jiàn)王再曲丸(Max Content Length):定義允許最大的內(nèi)容長(zhǎng)度，它指的是請(qǐng)求的 Body的長(zhǎng)度.其值設(shè)置的范圍是內(nèi)昔最尢長(zhǎng)廈表單參數(shù)最大個(gè)數(shù)漳題肉武*犬醫(yī)鷲POST清我考一他言寂屢1址如說(shuō)竹吾利網(wǎng)y 林. 32T&S0-65536( Bytes)留空表示不檢查.(Max Parameters)定義請(qǐng)求當(dāng)中允許的最大表單參數(shù).參數(shù)是請(qǐng)求字符串中的一部份或者或者是部分請(qǐng)求Body。例如：如果最大的表單參數(shù)為4，則請(qǐng)求字符串中有4個(gè)表單參數(shù)能被允許.該項(xiàng)值設(shè)置的范圍是 0-1024，留空表示不檢查POSTT=- =t/. ，- = ：最大上傳文件數(shù)(Max Upload Files):該項(xiàng)設(shè)置定義一個(gè)請(qǐng)求中允許的最大文件上傳數(shù).如果這個(gè)值設(shè)置為1,這時(shí)第二個(gè)文件上傳將被阻斷。該值設(shè)置范圍為0-1024。星大上橫交件埶5I* 5 |參數(shù)名最大長(zhǎng)度(Max Parameter Name Length):定義請(qǐng)求中任