O Firewall de Aplicações Web, WAF, é a ferramenta para detectar e bloquear o tráfego HTTP malicioso que atravessa os farms HTTP (S). O WAF trabalha pesquisando e analisando padrões com o objetivo de aplicar políticas de segurança avançadas. Essas regras são agrupadas em regras definidas e devem ser aplicadas aos farms HTTP. As regras WAF serão verificadas após descriptografar pacotes SSL; portanto, é possível aplicar padrões novamente ao corpo HTTP em um tráfego SSL.
O pacote IPDS do Zevenet inclui nele as regras do OWAS ModSecurity, mas você pode criar seu próprio conjunto de regras para proteger seu sistema contra qualquer tipo de ataque. Se você quiser ler mais sobre as regras da OWASP, consulte Projeto Modsecurity OWASP.
Essas regras são ordenadas por preferências. Se você decidir usá-las, leve em consideração para aplicá-las da seguinte forma:
REQUEST-90-CONFIGURATION REQUEST-901-INITIALIZATION Apply any other OWASP ruleset based on what you want to protect REQUEST-949-BLOCKING-EVALUATION RESPONSE-959-BLOCKING-EVALUATION RESPONSE-980-CORRELATION *for logging purpose, enable this only for troubleshooting.
Por padrão, este conjunto de regras OWASP usa um sistema de pontuação chamado níveis de paranóia; por padrão, 1; se você quiser ler mais sobre esses níveis, consulte os seguintes perguntas frequentes:
Perguntas frequentes sobre o conjunto de regras OWASP Modsecurity
Caso você queira aumentar esse nível de paranóia, faça o seguinte:
Vá para o conjunto de regras REQUEST-901-INICIALIZAÇÃO, Regras da guia, edite no modo bruto o número da regra 901120 e altere:
setvar:'tx.paranoia_level=1
pelo nível de paranóia desejado.
Na exibição de conjuntos de regras WAF, é mostrada uma visão geral dos conjuntos de regras disponíveis:
NOME. Identificação do nome do conjunto de regras, é um nome descritivo sobre o tipo de regras que o conjunto contém. Clique nele para entrar no formulário de edição.
FARMAS. As fazendas às quais a regra é aplicada. Este campo pode ser expandido usando o pequeno ícone (setas pequenas) no lado direito do FARMAS cabeçalho da coluna. Por padrão, é limitado a caracteres 20. Se a lista de farms for mais longa, é possível que algumas delas estejam ocultas. Use esse pequeno ícone para expandir a visão.
STATUS. O status do conjunto de regras é representado pelos seguintes códigos de cores de status:
- Verde: Significa ATIVADO. O conjunto de regras está realmente sendo verificado pelos farms que o estão usando.
- Vermelho: Significa DEFICIENTES. O conjunto de regras não está ativado, portanto, não está afetando o farm.
AÇÕES. Ações permitidas para o status das regras do WAF:
- Editar. Para modificar as configurações do conjunto de regras ou atribuir um serviço de farm, se necessário.
- Apagar. Remova um conjunto de regras.
- permitir. Para habilitar o conjunto de WAF para todos os farms onde ele é aplicado.
- Desabilitar. Desativar o conjunto WAF para todos os farms onde é aplicado.