Web App Firewall 配置文件设置

以下是必须在设备上配置的常规应用程序防火墙配置文件设置。

在命令提示窗口中,键入:

add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )]

示例:

add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

其中,

invalidPercentHandling。配置应用程序防火墙用于处理百分比编码名称和值的方法。

可用设置功能如下:

asp_mode-剥离和解析无效百分比用于解析。示例:- curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) 被剥离并检查其余内容,并对 SQLInjection 检查采取措施。 secure_mode-我们检测到无效百分比编码值并忽略它。示例:-curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) 被检测到,计数器递增,内容按原样传递给服务器。 apache_mode-此模式的工作原理与安全模式相同。 可能的值:apache_mode、asp_mode、secure_mode 默认值:secure_mode

optimizePartialReqs。使用范围标头优化 HTTP 部分请求的处理。

可用设置如下:

开 -客户端的部分请求会导致对后端服务器的部分请求。 OFF - 客户端的部分请求更改为对后端服务器的完整请求 可能的值:ON、OFF 默认值:ON

URLDecodeRequestCookies。URL 解码请求 cookie,然后再对其进行 SQL 和跨站脚本检查。

可能的值:ON、OFF 默认值:OFF

optimizePartialReqs。使用范围标头优化 HTTP 部分请求的处理。

可用设置如下: 开 -客户端部分请求导致对后端服务器的部分请求。 OFF-客户端的部分请求更改为对后端服务器的完整请求。 可能的值:ON、OFF 默认值:ON

签名后正文限制(字节)。限制请求负载(以字节为单位)检查的签名位置为“HTTP_POST_BODY”。

默认值:8096 最小值:0 最大值:4294967295

发布正文限制(字节)。限制 Web 应用程序防火墙检查的请求负载(以字节为单位)。

默认值:2000000 最小值:0 最大值:10 GB

checkRequestQueryNonHtml = ON/OFF(检查请求查询参数以及注入 SQL 和跨站脚本的 Web 表单,无论内容类型如何)

set appfw profile <name> -checkRequestQueryNonHtml (ON|OFF)

对于 appfw 配置文件基本类型,默认情况下处于关闭状态。 对于 appfw 配置文件高级类型,默认情况下处于打开状态。

注意:

升级设备后,默认情况下,如果该选项打开,则高级 Web 应用程序防火墙配置文件的冲突次数会增加。如果不是必需的,请确保显式关闭该选项。

Web App Firewall 配置文件设置