Configuración del perfil de Web App Firewall

A continuación se presentan las opciones generales del perfil de firewall de la aplicación que debe configurar en el dispositivo.

En el símbolo del sistema, escriba:

add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )]

Ejemplo:

add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

Donde:

invalidPercentHandling. Configure el método que utiliza el firewall de la aplicación para controlar los nombres y valores codificados por porcentaje.

Los ajustes disponibles funcionan de la siguiente manera:

asp_mode - Elimina y analiza el porcentaje no válido para el análisis. Ejemplo: -curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) se elimina y el resto del contenido se inspecciona y se toman medidas para la comprobación SQLinjection. secure_mode - Detectamos el valor codificado de porcentaje no válido y lo ignoramos. Ejemplo: -curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) se detecta, los contadores se incrementan y el contenido se pasa tal como está al servidor. apache_mode - Este modo funciona igual que el modo seguro.Valores posibles: apache_mode, asp_mode, secure_mode Valor predeterminado: secure_mode

optimizePartialReqs. Optimizar el manejador de solicitudes parciales HTTP con encabezados de rango.

Los ajustes disponibles son los siguientes:

ON : las solicitudes parciales del cliente dan como resultado solicitudes parciales al servidor back-end. OFF: Las solicitudes parciales del cliente se cambian a solicitudes completas al servidor back-end

Valores posibles: ON, OFF Valor predeterminado: ON

URLDecodeRequestCookies. Cookies de solicitud de descrifrado de URL antes de someterlas a comprobaciones de scripts SQL y entre sitios.

Valores posibles: ON, OFF Valor predeterminado: OFF

optimizePartialReqs. Optimizar el manejador de solicitudes parciales HTTP con encabezados de rango.

Las opciones disponibles son las siguientes: ON - Las solicitudes parciales del cliente dan como resultado solicitudes parciales al servidor back-end. OFF: Las solicitudes parciales del cliente se cambian a solicitudes completas al servidor back-end.

Valores posibles: ON, OFF Valor predeterminado: ON

Límite de cuerpo de publicación de firma (Bytes). Limita la carga útil de la solicitud (en bytes) inspeccionada para las firmas con la ubicación especificada como ‘HTTP_POST_BODY’.

Valor predeterminado: 8096 Valor mínimo: 0 Valor máximo: 4294967295

Límite de cuerpo de publicación (Bytes). Limita la carga útil de solicitud (en bytes) inspeccionada por Web Application Firewall.

Valor predeterminado: 2000000 Valor mínimo: 0 Valor máximo: 10 GB

checkRequestQueryNonHtml = ON/OFF (Comprobar parámetros de consulta de solicitud, así como formularios web para SQL inyectado y scripts entre sitios independientemente del tipo de contenido)

set appfw profile <name> -checkRequestQueryNonHtml (ON|OFF)

Para el tipo básico de perfil appfw, esto está desactivado de forma predeterminada. Para el tipo avanzado de perfil appfw, esto está activado de forma predeterminada.

Nota:

Después de actualizar el dispositivo, puede ver un aumento en el número de infracciones a los perfiles avanzados de Web App Firewall si la opción está activada, de forma predeterminada. Asegúrese de desactivar explícitamente la opción si no es necesaria.

Configuración del perfil de Web App Firewall