VMware Cloud Director 10.5.1 开始,您可以在 VMware Cloud Director 环境中使用 NSX Advanced Load Balancer 的 Web 应用程序防火墙功能来保护虚拟服务免受攻击并主动防范威胁。

VMware Cloud Director 中为虚拟服务启用 WAF 时,这会创建 WAF 策略、WAF 配置文件和 WAF 特征码以附加到该虚拟服务。

前提条件

  • 熟悉 NSX Advanced Load Balancer WAF 指南。请参见 VMware NSX Advanced Load Balancer 文档
  • 确认您的系统管理员已将具有“高级”功能集的服务引擎组分配给 NSX Edge 网关。
  • 确认您以组织管理员身份登录。

过程

  1. 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关
  2. 单击配置了虚拟服务的 NSX Edge 网关。
  3. 单击相关虚拟服务,然后单击 WAF
  4. 在“常规”下,单击编辑
  5. 启用 WAF 状态选项。
  6. 选择一种 WAF 模式。
    选项 描述
    检测 WAF 策略将评估并处理入站请求,但不会执行阻止操作。标记请求时,将创建一个日志条目。
    实施 WAF 策略将根据指定的规则评估并阻止请求。相应的日志条目将标记为 REJECTED
  7. 单击保存

下一步做什么

如有必要,您可以稍后更改虚拟服务的 WAF 模式,或停用 Web 应用程序防火墙。

为虚拟服务启用 WAF 后,可以根据需要创建允许列表规则或编辑 WAF 特征码。

为虚拟服务配置允许列表规则

您可以使用允许列表功能来定义 WAF 在处理请求时要应用的匹配条件和要执行的关联操作。

创建 WAF 允许列表规则时,您可以指示 WAF 在特定情况下不应用 WAF 策略,例如,如果请求来自特定的 IP 地址或范围,或者请求与使用 HTTP 方法匹配类型指定的 URL 模式匹配。配置允许列表规则有助于防止日志中出现大量误报的 WAF 冲突,并减少由 WAF 特征码检查导致的延迟。

过程

  1. 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关
  2. 单击配置了虚拟服务的 NSX Edge 网关。
  3. 单击相关虚拟服务,然后单击 WAF
  4. 在“允许列表规则”下,单击新建
  5. 输入规则的名称。
  6. 要在创建时激活规则,请打开活动开关。
  7. 选择匹配条件。
    选项 描述
    客户端 IP 地址
    1. 选择不是,指示是否在客户端 IP 与您输入的值匹配或不匹配时执行操作。
    2. 输入 IPv4 地址、IPv6 地址、范围或 CIDR 表示法。
    3. (可选)要添加更多 IP 地址,请单击添加 IP
    HTTP 方法
    1. 选择不是,指示是否在 HTTP 方法与您输入的值匹配或不匹配时执行操作。
    2. 从下拉菜单中选择一个或多个 HTTP 方法。
    路径
    1. 选择路径的条件。
    2. 输入路径字符串。
      注: 路径不需要以正斜杠 (/) 开头。
    3. (可选)要添加更多路径,请单击添加路径
    主机标头
    1. 选择主机标头的条件。
    2. 输入标头的值。
    可以为每种类型添加一个条件。
  8. 选择要在匹配时应用的操作。
    选项 描述
    绕过 WAF 不会执行任何进一步的规则,并会允许该请求。
    继续 停止执行允许列表,并继续执行 WAF 特征码评估。
    “检测”模式 WAF 将评估并处理入站请求,但不会执行阻止操作。标记请求时,将创建一个日志条目。
  9. 单击添加

编辑虚拟服务的 WAF 特征码

您可以编辑虚拟服务的 WAF 特征码 - 可以将特征码模式从检测更改为实施(反之亦然),也可以根据需要停用特征码或特征码组。

过程

  1. 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关
  2. 单击配置了虚拟服务的 NSX Edge 网关。
  3. 单击相关虚拟服务,然后单击 WAF
    在“特征码组”部分下,您可以查看 WAF 策略中包含的特征码组。您可以查看这些特征码组是否正在使用中。您还可以查看每个组中处于活动状态的规则数量,以及已手动覆盖的规则数量。
  4. 在“特征码组”下,单击要编辑的特征码组左侧的展开按钮。
  5. 要编辑组的特征码,请单击编辑特征码
  6. 单击特征码名称左侧的展开按钮,然后选择一项操作。
  7. 单击保存
  8. 要禁用特征码组,请单击该特征码组左侧的展开按钮,然后单击停用