NSX Advanced Load Balancer CRS 是针对 NSX Advanced Load Balancer WAF 的基于特征码的默认保护。本主题详细介绍了 CRS 版本和包含的功能。
已发布的版本基于 OWASP ModSecurity CRS,并且进行了大量修改以适应 NSX Advanced Load Balancer 配置模型。该修改后的 CRS 仅供 NSX Advanced Load Balancer WAF 使用,因为所做的更改是专门针对 NSX Advanced Load Balancer 的,更改后可具备规则性能、准确性和可管理性方面的优势。有关更多信息,请参阅 OWASP ModSecurity 核心规则集 (CRS)。
您可以在 NSX Advanced Load Balancer 中创建自定义规则,并将这些规则应用于 WAF 策略。有关更多信息,请参阅自定义规则。
名称 |
上游版本 |
注释 |
---|---|---|
CRS-2023-2 |
3.3.4 |
修复的错误 |
CRS-2023-1 |
3.3.4 |
从版本 3.3.2 到 3.3.4 的 OWASP 核心规则集、错误修复和性能改进 |
CRS-2022-2 |
3.3.2 |
添加规则以防范基于 JSON 的 SQL 注入 |
CRS-2022-1 |
3.3.2 |
错误修复和性能改进。 |
CRS-2021-4 |
3.3.2 |
改进规则以防范 Log4J 漏洞。 |
CRS-2021-3 |
3.3.2 |
添加规则以防范 Log4J 漏洞。 |
CRS-2021-2 |
3.3.2 |
OWASP CRS 从版本 3.3 更新为 3.3.2。 |
CRS-2021-1 |
3.3.2 |
OWASP CRS 从版本 3.2 更新为 3.3。 |
CRS-2020-3 |
3.2 |
错误修复和性能改进。 |
CRS-2020-2 |
3.2 |
错误修复和性能改进。 |
CRS-2020-1 |
3.2 |
修复了错误。 |
CRS-2019-3 |
3.2 |
OWASP CRS 从版本 3.1.1 更新为 3.2。 |
CRS-2019-2 |
3.1.1 |
支持新规则组 |
CRS-VERSION-NOT-APPLICABLE |
无 |
启用的 WAF 策略将不包含 CRS 规则。 |
CRS-2019-1 |
3.1.0 |
规则优化和重组。 |
CRS-2017-1 |
3.0.2 |
17.2 的初始发行版本。 |
CRS-2017-0 |
3.0(测试版) |
预发行版本。 |
NSX Advanced Load Balancer CRS 发行说明
CRS-2023-2
在版本 CRS-2023-1 和 CRS-2023-2 之间进行了以下更改。
修复了规则 941310 中的误报。
CRS-2023-1
CRS-2023-1 是基于 OWASP 核心规则集 3.3.4 的维护版本。在版本 CRS-2022-2 和 CRS-2023-1 之间进行了以下更改:
添加了规则 4022021、920600、921421 和 921230,以检测请求标头中的攻击向量。
添加了规则 934120,以检测 Paranoia 级别 2 中的服务器端请求伪造。
减少了规则 942190 和 934100 中的误报。
修复了规则 920530 中出现异常评分的问题。
添加了组 CRS_903.9008_Phpmyadmin_Exclusion_Rules 以简化对 PHPmyAdmin 的保护。
CRS-2022-2
在版本 CRS-2022-1 和 CRS-2022-2 之间进行了以下更改:
添加了规则 4022062 以防范基于 JSON 的 SQL 注入
CRS-2022-1
在版本 CRS-2021-4 和 CRS-2022-1 之间进行了以下更改:
修复了规则 920470、932115 和 942251 中的误报。
添加了修复误报(WAF 绕过)的规则 920530。
默认情况下,规则组 949 处于非活动状态。如果从较旧的 CRS 版本迁移,将保留您的设置。
修复了规则名称和描述中的一些键入错误。
修复了规则 4022056 的异常分数。
在 log4shell 规则中添加了 CVE 标记。
CRS-2021-4
在版本 CRS-2021-3 和 CRS-2021-4 之间进行了以下更改:
改进了对
CVE-2021-44228
和CVE-2021-45046
(Log4Shell) 的检测。减少了 Log4Shell 检测规则中的潜在误报。
CRS-2021-3
在 CRS-2021-3 中,向 CRS_402_Additional_Rules
组中添加了两个规则以防范 CVE-2021-44228
。
CRS-2021-2
在版本 CRS-2021-2 和 CRS-2021-1
之间进行了以下更改:
基于 OWASP CRS 3.3.2。
移除了 CRS_903.9001_Drupal_Exclusion_Rules 组中的 3 个规则。
修复了一些规则的名称,例如,规则 950130。
移除了冗余规则:901120 和 901160。
添加了 NSX Advanced Load Balancer 规则以检测 PATH 名称中的跨站点脚本和 SQL 注入。
添加了 NSX Advanced Load Balancer 规则以检测 URL 中的未编码 #。
现在,每个规则都有一个标记,用于将该规则标记为组成员,例如,CRS-group-980。这使用户能够使用 ModSecurity 控制操作(例如,使用
ctl:ruleRemoveTargetByTag
或ctl:ruleRemoveByTag
)动态排除整个组。现在,每个具有阻止或拒绝操作的规则都保证具有一个 Paranoia 级别标记。
改进了规则 4022030 的错误消息,方法是在日志消息中包含解析错误的原因。
修复了规则 931130 的误报。
CRS-2021-1
在版本 CRS-2021-1 和 CRS-2020-3 之间进行了以下更改:
基于 OWASP CRS 版本 3.3。
基于 CAPEC(常见攻击模式枚举和分类)的新标记为用户提供了有关攻击性质的更多信息。可以在 https://capec.mitre.org/ 上找到 CAPEC ID,以详细了解 WAF 检测到的攻击所具有的影响。
基于即将发布的 OWASP CRS 版本 3.4 添加了 phpBB 例外:
包含将在即将发布的版本中添加的一些修复。
规则 920420 将不再接受部分内容类型。
规则 920350 可正确处理 IPv6 地址。
减少了规则 920470、941120、942230 和 942190 的误报。
CRS-2020-3
在版本 CRS-2020-2 和 CRS-2020-3 之间进行了以下更改:
规则 920450 现在可按预期运行。
更新了规则 920470 和 920480 的正则表达式,以避免误报。
CRS-2020-2
在版本 CRS-2020-1 和 CRS-2020-2 之间进行了以下更改:
规则 920180 不再为 HTTP/2 请求创建误报。已修复此错误并改进了性能。
改进了规则 941120、942210 和 942260 的性能。
CRS-2020-1
在版本 CRS-2019-3 和 CRS-2020-1 之间进行了以下更改:
较旧的系统无法更新到 CRS-2019-3。已修复此错误。
默认禁用规则 920300(此规则检查 Accept-Encoding 标头,并且仅生成日志条目,但从不拒绝请求)。
CRS-2019-3
在版本 CRS-2019-2 和 CRS-2019-3 之间进行了以下更改:
引入了针对特殊攻击类型的规则。现在包含新组,以便:
减少对 xenForo 的误报。
防范 NodeJS 攻击。
将处理输入解析失败的两个规则移到 CRS_402_Additional_Rules 组中。
CRS-2019-2
在版本 CRS-2019-1 和 CRS-2019-2 之间进行了以下更改:
创建了新规则组,其中包含由 NSX Advanced Load Balancer CRS_402_Additional_Rules 提供的规则:
该组包含两个新规则,用于检测 HTTP 协议级别攻击,例如 HTTP 取消同步攻击。
注:NSX Advanced Load Balancer 不易受到此攻击。但是,这两个规则将提高可见性。
OWASP CRS 从版本 3.1 更新为版本 3.1.1,如下所示:
更新了一些规则以避免误报。
更新了一些规则以提高模式效率(避免 ReDOS 攻击)。
修复了规则 920240 和 920400 中的一些漏报。
CRS-2019-1
在初始版本 CRS-2017-1 和 CRS-2019-1 之间进行了以下更改:
将 OWASP CRS 从版本 3.0 更新为 3.1。
添加了包含特殊应用程序例外的组。
从 OWASP CRS 重新创建了组结构(创建了更多组)。
在默认安装中停用了规则 920350(检测主机标头是否为 IP 地址)。