PDF anzeigen
Webanwendungs-Firewall-Profileinstellungen
Im Folgenden finden Sie die allgemeinen Anwendungs-Firewall-Profileinstellungen, die Sie auf der Appliance konfigurieren müssen.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )]
Beispiel:
add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]
Hierbei gilt:
invalidPercentHandling. Konfigurieren Sie die Methode, mit der die Anwendungsfirewall prozentcodierte Namen und Werte verarbeitet.
Verfügbare Einstellungen funktionieren wie folgt:
asp_mode - Strips and Parses Ungültiger Prozentsatz für das Parsen. Beispiel: - curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) wird entfernt und der Rest des Inhalts wird überprüft und Aktion für die SQLInjection Prüfung durchgeführt.
secure_mode - Wir erkennen den codierten Wert ungültig Prozent und ignorieren ihn. Beispiel: - curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) wird erkannt, Leistungsindikatoren werden inkrementiert und Inhalt wird wie an den Server übergeben.
apache_mode - Dieser Modus funktioniert genauso wie der sichere Modus.
Mögliche Werte: apache_mode, asp_mode, secure_mode
Standardwert: secure_mode
optimizePartialReqs. Optimieren Sie das Handle von HTTP-Teilanforderungen mit Bereichsheadern.
Folgende Einstellungen sind verfügbar:
ON - Teilanforderungen des Clients führen zu Teilanforderungen an den Back-End-Server. OFF - Teilanforderungen durch den Client werden in vollständige Anforderungen an den Back-End-Server geändert Mögliche Werte: ON, OFF Standardwert: ON
URLDecodeRequestCookies. URL-Dekodierung von Anforderungscookies, bevor sie SQL- und siteübergreifenden Skripterstellungsüberprüfungen unterzogen werden.
Mögliche Werte: ON, OFF Standardwert: OFF
optimizePartialReqs. Optimieren Sie das Handle von HTTP-Teilanforderungen mit Bereichsheadern.
Folgende Einstellungen sind verfügbar: ON - Teilanforderungen des Clients führen zu Teilanforderungen an den Back-End-Server. OFF - Teilanforderungen des Clients werden in vollständige Anforderungen an den Back-End-Server geändert. Mögliche Werte: ON, OFF Standardwert: ON
Unterschriften-Post-Body-Limit (Bytes). Begrenzt die Anforderungsnutzlast (in Bytes), die auf Signaturen überprüft wird, deren Speicherort als ‘HTTP_POST_BODY’ angegeben ist.
Standardwert: 8096 Mindestwert: 0 Maximaler Wert: 4294967295
Post-Body-Limit (Bytes). Begrenzt die Anforderungsnutzlast (in Bytes), die von der Web Application Firewall überprüft wird.
Standardwert: 2000000 Mindestwert: 0 Maximaler Wert: 10 GB
checkRequestQueryNonHTML = ON/OFF (Prüfen Sie Anforderungsparameter sowie Webformulare für injizierte SQL- und siteübergreifende Skripte unabhängig vom Inhaltstyp)
set appfw profile <name> -checkRequestQueryNonHtml (ON|OFF)
Für appfw-Profilbasistyp ist dies standardmäßig deaktiviert. Für appfw profile advanced type ist dies standardmäßig aktiviert.
Hinweis:
Nach dem Upgrade der Appliance wird die Anzahl der Verstöße gegen erweiterte Webanwendungs-Firewall-Profile erhöht, wenn die Option standardmäßig aktiviert ist. Stellen Sie sicher, dass Sie die Option explizit deaktivieren, wenn sie nicht erforderlich ist.