从 VMware Cloud Director 10.5.1 开始,您可以在 VMware Cloud Director 环境中使用 NSX Advanced Load Balancer 的 Web 应用程序防火墙功能来保护虚拟服务免受攻击并主动防范威胁。
在 VMware Cloud Director 中为虚拟服务启用 WAF 时,这会创建 WAF 策略、WAF 配置文件和 WAF 特征码以附加到该虚拟服务。
前提条件
- 熟悉 NSX Advanced Load Balancer WAF 指南。请参见 VMware NSX Advanced Load Balancer 文档。
- 确认您已将具有“高级”功能集的服务引擎组分配给 NSX Edge 网关。
- 确认您以组织管理员身份登录。
过程
- 在左侧一级导航面板中选择资源,然后在页面顶部导航栏中选择云资源。
- 在左侧二级导航面板中,选择 Edge 网关。
- 单击配置了虚拟服务的 NSX Edge 网关。
- 单击相关虚拟服务,然后单击 WAF。
- 在“常规”下,单击编辑。
- 启用 WAF 状态选项。
- 选择一种 WAF 模式。
选项 描述 检测 WAF 策略将评估并处理入站请求,但不会执行阻止操作。标记请求时,将创建一个日志条目。 实施 WAF 策略将根据指定的规则评估并阻止请求。相应的日志条目将标记为 REJECTED。 - 单击保存。
下一步做什么
如有必要,您可以稍后更改虚拟服务的 WAF 模式,或停用 Web 应用程序防火墙。
为虚拟服务启用 WAF 后,可以根据需要创建允许列表规则或编辑 WAF 特征码。
为虚拟服务配置允许列表规则
您可以使用允许列表功能来定义 WAF 在处理请求时要应用的匹配条件和要执行的关联操作。
创建 WAF 允许列表规则时,您可以指示 WAF 在特定情况下不应用 WAF 策略,例如,如果请求来自特定的 IP 地址或范围,或者请求与使用 HTTP 方法匹配类型指定的 URL 模式匹配。配置允许列表规则有助于防止日志中出现大量误报的 WAF 冲突,并减少由 WAF 特征码检查导致的延迟。
过程
编辑虚拟服务的 WAF 特征码
您可以编辑虚拟服务的 WAF 特征码 - 可以将特征码模式从检测更改为实施(反之亦然),也可以根据需要停用特征码或特征码组。