No VMware Cloud Director 10.5.1, você pode usar o recurso de firewall de aplicativos Web do NSX Advanced Load Balancer no seu ambiente do VMware Cloud Director para proteger seus serviços virtuais contra ataques e evitar ameaças de forma proativa.

Quando você ativa o WAF para um serviço virtual no VMware Cloud Director, isso cria uma política do WAF, um perfil de WAF e assinaturas de WAF para anexar ao serviço virtual.

Pré-requisitos

  • Familiarize-se com o guia do WAF do NSX Advanced Load Balancer. Consulte a Documentação do VMware NSX Advanced Load Balancer.
  • Verifique se o administrador do sistema atribuiu um grupo de mecanismos de serviço com um conjunto de recursos Premium ao seu edge gateway do NSX.
  • Verificar se você está conectado como administrador da organização.

Procedimento

  1. No painel de navegação esquerdo primário, selecione Rede e, na barra de navegação superior da página, selecione Edge Gateways.
  2. Clique no edge gateway do NSX no qual o serviço virtual está configurado.
  3. Clique no serviço virtual e clique em WAF.
  4. Em Geral, clique em Editar.
  5. Ative a opção Estado do WAF.
  6. Selecione um modo do WAF.
    Opção Descrição
    Detecção A política do WAF avalia e processa a solicitação de entrada, mas não executa uma ação de bloqueio. Uma entrada de log é criada quando a solicitação é sinalizada.
    Aplicação A política do WAF avalia a solicitação e bloqueia a solicitação com base nas regras especificadas. A entrada de log correspondente é marcada como REJEITADA.
  7. Clique em Salvar.

O que Fazer Depois

Se necessário, você pode alterar o modo WAF para um serviço virtual mais tarde ou desativar o firewall do aplicativo Web.

Depois de habilitar o WAF para o seu serviço virtual, você pode criar regras de lista de permissões ou editar assinaturas do WAF conforme necessário.

Configurar regras de lista de permissões para um serviço virtual

Você pode usar a funcionalidade da lista de permissões para definir condições de correspondência e ações associadas para o WAF realizar ao processar uma solicitação.

Ao criar regras de lista de permissões do WAF, você instrui o WAF a não aplicar a política de WAF em casos específicos, por exemplo, se a solicitação vier de um endereço IP ou intervalo específico, ou se a solicitação corresponder ao padrão de URL especificado usando o tipo de correspondência do método HTTP. A configuração de regras de lista de permissões pode ajudar a evitar a inundação de seus logs com violações falsas positivas do WAF e reduz a latência gerada pelas inspeções de assinatura do WAF.

Procedimento

  1. No painel de navegação esquerdo primário, selecione Rede e, na barra de navegação superior da página, selecione Edge Gateways.
  2. Clique no edge gateway do NSX no qual o serviço virtual está configurado.
  3. Clique no serviço virtual e clique em WAF.
  4. Em Regras de Lista de Permissões, clique em Novo.
  5. Digite um nome para a regra.
  6. Para ativar a regra após a criação, ative a opção Estado.
  7. Selecione os critérios de correspondência.
    Opção Descrição
    Endereço IP do Cliente
    1. Selecione É ou Não É para indicar se deseja executar uma ação se o IP do cliente corresponder ou não ao valor inserido.
    2. Insira um endereço IPv4 ou um endereço IPv6 ou um intervalo ou uma notação CIDR.
    3. (Opcional) Para adicionar mais endereços IP, clique em Adicionar IP.
    Método HTTP
    1. Selecione É ou Não É para indicar se deseja executar uma ação se método HTTP corresponder ou não ao valor inserido.
    2. No menu suspenso, selecione um ou mais métodos HTTP.
    Caminho
    1. Selecione um critério para o caminho.
    2. Digite uma cadeia de caracteres de caminho.
      Observação: O caminho não precisa começar com uma barra (/).
    3. (Opcional) Para adicionar mais caminhos, clique em Adicionar Caminho.
    Cabeçalho do Host
    1. Selecione um critério para o cabeçalho do host.
    2. Digite um valor para o cabeçalho.
    Você pode adicionar um critério de cada tipo.
  8. Selecione uma ação a ser aplicada após uma correspondência.
    Opção Descrição
    Ignorar O WAF não executa nenhuma regra adicional e a solicitação é permitida.
    Continuar Interrompe a execução da lista de permissões e prossegue com a avaliação da assinatura do WAF.
    Modo de Detecção O WAF avalia e processa a solicitação de entrada, mas não executa uma ação de bloqueio. Uma entrada de log é criada quando a solicitação é sinalizada.
  9. Clique em Adicionar.

Editar as assinaturas do WAF para um serviço virtual

Você pode editar as assinaturas do WAF para um serviço virtual: você pode alterar um modo de assinatura de Detecção para Aplicação ou vice-versa, ou, se necessário, desativar uma assinatura ou um grupo de assinaturas.

Procedimento

  1. No painel de navegação esquerdo primário, selecione Rede e, na barra de navegação superior da página, selecione Edge Gateways.
  2. Clique no edge gateway do NSX no qual o serviço virtual está configurado.
  3. Clique no serviço virtual e clique em WAF.
    Na seção Grupos de Assinatura, você pode ver os grupos de assinatura incluídos na sua política do WAF. Você pode ver se eles estão ativamente em uso ou não. Você também pode ver o número ou as regras em cada grupo que estão ativos e o número de regras que foram substituídas manualmente.
  4. Em Grupos de Assinatura, clique no botão para expandir à esquerda do grupo de assinatura que você deseja editar.
  5. Para editar as assinaturas de um grupo, clique em Editar Assinaturas.
  6. Clique no botão para expandir à esquerda do nome da assinatura e selecione uma ação.
  7. Clique em Salvar.
  8. Para desativar um grupo de assinaturas, clique no botão para expandir à esquerda do grupo de assinaturas e clique em Desativar.