Webanwendungs-Firewall-Profileinstellungen

Im Folgenden finden Sie die allgemeinen Anwendungs-Firewall-Profileinstellungen, die Sie auf der Appliance konfigurieren müssen.

Geben Sie an der Eingabeaufforderung Folgendes ein:

add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )]

Beispiel:

add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

Hierbei gilt:

invalidPercentHandling. Konfigurieren Sie die Methode, mit der die Anwendungsfirewall prozentcodierte Namen und Werte verarbeitet.

Verfügbare Einstellungen funktionieren wie folgt:

asp_mode - Strips and Parses Ungültiger Prozentsatz für das Parsen. Beispiel: - curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) wird entfernt und der Rest des Inhalts wird überprüft und Aktion für die SQLInjection Prüfung durchgeführt. secure_mode - Wir erkennen den codierten Wert ungültig Prozent und ignorieren ihn. Beispiel: - curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) wird erkannt, Leistungsindikatoren werden inkrementiert und Inhalt wird wie an den Server übergeben. apache_mode - Dieser Modus funktioniert genauso wie der sichere Modus. Mögliche Werte: apache_mode, asp_mode, secure_mode Standardwert: secure_mode

optimizePartialReqs. Optimieren Sie das Handle von HTTP-Teilanforderungen mit Bereichsheadern.

Folgende Einstellungen sind verfügbar:

ON - Teilanforderungen des Clients führen zu Teilanforderungen an den Back-End-Server. OFF - Teilanforderungen durch den Client werden in vollständige Anforderungen an den Back-End-Server geändert Mögliche Werte: ON, OFF Standardwert: ON

URLDecodeRequestCookies. URL-Dekodierung von Anforderungscookies, bevor sie SQL- und siteübergreifenden Skripterstellungsüberprüfungen unterzogen werden.

Mögliche Werte: ON, OFF Standardwert: OFF

optimizePartialReqs. Optimieren Sie das Handle von HTTP-Teilanforderungen mit Bereichsheadern.

Folgende Einstellungen sind verfügbar: ON - Teilanforderungen des Clients führen zu Teilanforderungen an den Back-End-Server. OFF - Teilanforderungen des Clients werden in vollständige Anforderungen an den Back-End-Server geändert. Mögliche Werte: ON, OFF Standardwert: ON

Unterschriften-Post-Body-Limit (Bytes). Begrenzt die Anforderungsnutzlast (in Bytes), die auf Signaturen überprüft wird, deren Speicherort als ‘HTTP_POST_BODY’ angegeben ist.

Standardwert: 8096 Mindestwert: 0 Maximaler Wert: 4294967295

Post-Body-Limit (Bytes). Begrenzt die Anforderungsnutzlast (in Bytes), die von der Web Application Firewall überprüft wird.

Standardwert: 2000000 Mindestwert: 0 Maximaler Wert: 10 GB

checkRequestQueryNonHTML = ON/OFF (Prüfen Sie Anforderungsparameter sowie Webformulare für injizierte SQL- und siteübergreifende Skripte unabhängig vom Inhaltstyp)

set appfw profile <name> -checkRequestQueryNonHtml (ON|OFF)

Für appfw-Profilbasistyp ist dies standardmäßig deaktiviert. Für appfw profile advanced type ist dies standardmäßig aktiviert.

Hinweis:

Nach dem Upgrade der Appliance wird die Anzahl der Verstöße gegen erweiterte Webanwendungs-Firewall-Profile erhöht, wenn die Option standardmäßig aktiviert ist. Stellen Sie sicher, dass Sie die Option explizit deaktivieren, wenn sie nicht erforderlich ist.

Webanwendungs-Firewall-Profileinstellungen