Vue d’ensemble des contrôles de sécurité
Les protections avancées du pare-feu Web App Firewall (contrôles de sécurité) sont un ensemble de filtres conçus pour détecter les attaques complexes ou inconnues sur vos sites Web et services Web protégés. Les contrôles de sécurité utilisent des techniques heuristiques, une sécurité positive et d’autres techniques pour détecter les attaques qui ne peuvent pas être détectées uniquement par les signatures. Vous configurez les vérifications de sécurité en créant et en configurant un profil de Web App Firewall, qui est un ensemble de paramètres définis par l’utilisateur qui indiquent au pare-feu Web App les vérifications de sécurité à utiliser et comment gérer une demande ou une réponse qui échoue une vérification de sécurité. Un profil est associé à un objet signatures et à une stratégie pour créer une configuration de sécurité.
Le pare-feu des applications Web fournit vingt contrôles de sécurité, qui diffèrent considérablement par le type d’attaque qu’ils ciblent et la complexité de leur configuration. Les contrôles de sécurité sont organisés selon les catégories suivantes :
- Contrôles de sécurité communs. Les contrôles qui s’appliquent à tout aspect de la sécurité Web qui n’implique pas de contenu ou s’appliquent également à tous les types de contenu.
- Vérifications de sécurité HTML. Vérifications qui examinent les demandes et les réponses HTML. Ces vérifications s’appliquent aux sites Web HTML et aux parties HTML des sites Web 2.0, qui contiennent des contenus HTML et XML mixtes.
- Vérifications de sécurité XML. Vérifications qui examinent les demandes et les réponses XML. Ces vérifications s’appliquent aux services Web XML et aux parties XML des sites Web 2.0.
Les contrôles de sécurité protègent contre un large éventail de types d’attaques, y compris les attaques contre les vulnérabilités logicielles du système d’exploitation et du serveur Web, les vulnérabilités de base de données SQL, les erreurs dans la conception et le codage des sites Web et des services Web, et les échecs de sites sécurisés qui hébergent ou peuvent accéder à des informations sensibles.
Toutes les vérifications de sécurité ont un ensemble d’options de configuration, les actions de vérification, qui contrôlent la façon dont le Web App Firewall gère une connexion correspondant à une vérification. Trois actions de vérification sont disponibles pour toutes les vérifications de sécurité. Ils sont :
- Block. Bloquer les connexions qui correspondent à la signature. Désactivé par défaut.
- Journal. Enregistrer les connexions qui correspondent à la signature, pour une analyse ultérieure. Activé par défaut.
- Statistiques. Tenir à jour des statistiques, pour chaque signature, indiquant le nombre de connexions correspondant et fournissant d’autres informations sur les types de connexions bloquées. Désactivé par défaut.
Une quatrième action de vérification, Apprendre, est disponible pour plus de la moitié des actions de vérification. Il observe le trafic vers un site Web protégé ou un service Web et utilise des connexions qui violent à plusieurs reprises la vérification de sécurité pour générer des exceptions recommandées (relaxations) à la vérification, ou de nouvelles règles pour la vérification. Outre les actions de vérification, certaines vérifications de sécurité ont des paramètres qui contrôlent les règles utilisées par la vérification pour déterminer quelles connexions ne respectent pas cette vérification ou qui configurent la réponse du pare-feu Web App aux connexions qui violent la vérification. Ces paramètres sont différents pour chaque vérification, et ils sont décrits dans la documentation de chaque vérification.
Pour configurer les vérifications de sécurité, vous pouvez utiliser l’Assistant Web App Firewall, comme décrit dans Assistant Web App Firewall ou vous pouvez configurer les vérifications de sécurité manuellement, comme décrit dans Configuration manuelle à l’aide de l’interface graphique. Certaines tâches, telles que la saisie manuelle de relaxations ou de règles ou l’examen des données apprises, ne peuvent être effectuées qu’à l’aide de l’interface graphique, et non de la ligne de commande. L’utilisation de l’assistant est généralement la meilleure méthode de configuration, mais dans certains cas, la configuration manuelle peut être plus facile si vous êtes bien familier avec lui et que vous voulez simplement ajuster la configuration pour une seule vérification de sécurité.
Quelle que soit la méthode que vous utilisez pour configurer les vérifications de sécurité, chaque vérification de sécurité nécessite l’exécution de certaines tâches. De nombreuses vérifications nécessitent que vous spécifiez des exceptions (relaxations) pour empêcher le blocage du trafic légitime avant d’activer le blocage pour cette vérification de sécurité. Vous pouvez le faire manuellement, en observant les entrées du journal après un certain volume de trafic a été filtré, puis en créant les exceptions nécessaires. Cependant, il est généralement beaucoup plus facile d’activer la fonctionnalité d’apprentissage et de la laisser observer le trafic et recommander les exceptions nécessaires.
Le Web App Firewall utilise des moteurs de paquets (PE) pendant le traitement des transactions. Chaque moteur de paquets a une limite de 100 000 sessions, ce qui est suffisant pour la plupart des scénarios de déploiement. Toutefois, lorsque le Web App Firewall traite un trafic important et que le délai d’expiration de session est configuré à une valeur plus élevée, les sessions peuvent être accumulées. Si le nombre de sessions actives de Web App Firewall dépasse la limite de 100 000 par PE, les violations de vérification de sécurité du pare-feu Web App peuvent ne pas être envoyées à l’appliance Security Insight. La réduction du délai d’expiration de session à une valeur plus petite, ou l’utilisation du mode sans session pour les vérifications de sécurité avec fermeture d’URL sans session ou cohérence de champ sans session peut aider à empêcher l’accumulation des sessions. Si cette option n’est pas viable dans les scénarios où les transactions peuvent nécessiter des sessions plus longues, la mise à niveau vers une plate-forme supérieure avec plus de moteur de paquets est recommandée.
La prise en charge de AppFirewall mis en cache est ajoutée, et le paramètre de session maximale via l’interface de ligne de commande par cœur est défini sur 50 000 sessions.