ADC

安全检查概述

Web App Firewall 高级保护(安全检查)是一组过滤器,旨在捕获对受保护网站和 Web 服务的复杂或未知攻击。安全检查使用启发式、主动安全和其他技术来检测仅靠签名可能无法检测到的攻击。您可以通过创建和配置 Web App Firewall 配置文件来配置安全检查,该配置文件是一组用户定义的设置,用于告诉 Web App Firewall 使用哪些安全检查以及如何处理未通过安全检查的请求或响应。配置文件与签名对象和创建安全配置的策略相关联。

Web App Firewall 提供二十项安全检查,这些检查的目标攻击类型和配置的复杂程度差异很大。安全检查分为以下几类:

  • 常见的安全检查。适用于网络安全任何方面的检查,这些检查要么不涉及内容,要么同样适用于所有类型的内容。
  • HTML 安全检查。检查 HTML 请求和响应的检查。这些检查适用于基于 HTML 的网站以及包含 HTML 和 XML 混合内容的 Web 2.0 网站的 HTML 部分。
  • XML 安全检查。检查 XML 请求和响应的检查。这些检查适用于基于 XML 的 Web 服务和 Web 2.0 网站的 XML 部分。

安全检查可抵御各种类型的攻击,包括对操作系统和 Web 服务器软件漏洞的攻击、SQL 数据库漏洞、网站和 Web 服务的设计和编码错误,以及无法保护托管或可以访问敏感信息的站点的安全。

所有安全检查都有一组配置选项,即检查操作,用于控制 Web App Firewall 如何处理与检查相匹配的连接。所有安全检查都有三种检查操作可用。具体如下:

  • 阻止。阻止与签名匹配的连接。默认情况下禁用。
  • 日志。记录与签名匹配的连接,供日后分析。默认已启用。
  • 统计数据。维护每个签名的统计信息,以显示其匹配的连接数,并提供有关被阻止的连接类型的某些其他信息。默认情况下禁用。

第四个检查操作“学习”可用于一半以上的检查操作。它会观察到受保护网站或 Web 服务的流量,并使用反复违反安全检查的连接来生成检查的建议例外(放松)或检查的新规则。除了检查操作外,某些安全检查还具有控制规则的参数,这些规则用于确定哪些连接违反了该检查,或者用于配置 Web App Firewall 对违反检查的连接的响应。这些参数对于每个检查都是不同的,并且在每个检查的文档中描述了这些参数。

要配置安全检查,可以使用 Web App Firewall 向导(如 Web App Firewall 向导中所述),也可以 按照使用 GUI 手动配置中所述手动配置安全检查。某些任务(例如手动输入放宽或规则或查看学习的数据)只能通过 GUI 而不是命令行来完成。使用向导通常是最好的配置方法,但在某些情况下,如果您非常熟悉它,并且只想调整配置以进行一次安全检查,则手动配置可能会更容易。

无论使用哪种方法配置安全检查,每次安全检查都需要执行某些任务。许多检查要求您指定例外(宽松)以防止阻塞合法流量,然后才能为该安全检查启用阻止。您可以手动执行此操作,方法是在过滤一定数量的流量后观察日志条目,然后创建必要的例外。但是,启用学习功能并让它观察流量并推荐必要的例外情况通常要容易得多。

Web App Firewall 在处理事务时使用数据包引擎 (PE)。每个数据包引擎的会话限制为 100K,这对于大多数部署场景来说已经足够了。但是,当 Web App Firewall 正在处理大量流量并且将会话超时配置为更高的值时,会话可能会被累积。如果活跃的 Web App Firewall 会话数量超过每个 PE 的 100K 限制,则可能不会将 Web App Firewall 安全检查违规发送到 Security Insight 设备。将会话超时降低到较小的值,或者使用无会话模式进行安全检查,包括无会话 URL 关闭或无会话字段一致性,可能有助于防止会话累积。如果在事务可能需要更长会话的情况下,这不是一个可行的选择,建议升级到具有更多数据包引擎的高端平台。

添加了对缓存的 AppFirewall 的支持,并且通过 CLI 每核心的最大会话设置设置为 50K 会话。

请求和响应安全检查

以下是安全检查清单:

请求检查

以下是请求安全检查:

  • 起始 URL
  • 拒绝 URL
  • Cookie 一致性
  • cookie 劫持
  • 缓冲区溢出
  • 帖子正文限制
  • 内容类型
  • 推断内容类型 XML 有效负载
  • 文件上载类型
  • 表单字段一致性
  • 字段格式
  • CSRF 表单标记
  • HTML 跨站点脚本
  • HTML SQL 注入
  • HTML 命令注入
  • 区块关键字-XML
  • XML 格式
  • XML 拒绝服务
  • XML 跨站点脚本
  • XML SQL 注
  • XML 附件
  • XML 消息验证
  • JSON 拒绝服务
  • JSON 跨站点脚本
  • JSON SQL
  • JSON 命令注入
  • 屏蔽关键字 - JSON

响应检查

以下是响应安全检查:

  • 信用卡
  • 安全对象
  • XML SOAP 故障过
  • 一些 Web 服务互操作性
安全检查概述