本主题介绍了 WAF 的应用程序特定规则。为了保护具有已知漏洞的应用程序,WAF 支持使用应用程序规则。这些应用程序规则专门用于阻止针对已知应用程序漏洞(其中许多具有通用漏洞披露 (Common Vulnerabilities and Exposures, CVE) 编号)的攻击。这些规则将使用 NSX Advanced Load Balancer 云服务的应用程序规则进行自动更新。当管理员启用此功能时,可以选择超过 5000 个应用程序,从而在 WAF 策略中为这些应用程序激活特定规则。

有关云服务的应用程序规则的更多信息,请参阅VMware NSX Advanced Load Balancer 云服务指南》中的“应用程序规则服务”主题。

有关 WAF 策略的更多信息,请参阅 WAF 策略



配置应用程序规则

要配置应用程序规则,请导航到模板 > WAF > WAF 策略,然后单击所需策略的编辑图标。导航到应用程序规则选项卡。您可以通过单击应用程序规则下拉菜单来选择应用程序规则。如果选择某个应用程序,该应用程序将添加到当前配置的应用程序列表中,并将显示该应用程序的应用程序名称、上次更新时间戳以及规则数。



在此示例中,已选择 Drupal 作为要保护的应用程序。该策略现在包含 21 个活动的规则,可以防范已知对 Drupal 的特定漏洞利用。

要从列表中移除应用程序,请单击该项目的删除图标。

更新应用程序规则

您需要使用云服务注册 NSX Advanced Load Balancer 控制器 的应用程序规则,应用程序规则功能才能正常使用。有关通过云服务进行配置的更多信息,请参阅VMware NSX Advanced Load Balancer 云服务指南》中的“应用程序规则服务”主题。完成此初始配置后,将每天自动更新应用程序规则。系统会对配置的应用程序的任何 WAF 策略应用这些更新。

注:

如果已停用某个规则,则应用更新时将保留此更改。

应用程序日志分析

在命中某个应用程序规则时,应用程序日志分析会捕获该事件。

它包含有关检测到的攻击类型的信息。它与 WAF 功能的其他部分无缝集成。



调整应用程序规则

应用程序规则提供的特定保护的性质使其易于部署。由于特征码仅针对特定的攻击向量,因此不存在误报。

注:

与规则相反,不会显示规则文本。

如果需要调整规则,可以使用 CLI 将其禁用。



通过 CLI 进行配置的步骤

您可以停用规则 ID 为 2100105 的规则,如以下示例中所示。

ssh to Controller
shell (login)
configure wafpolicy System-WAF-Policy
application_signatures
where
CTRL/F or CMND/F for rule ID: 2100105 -> note index 
rules index 14160
no enable
save
save
save

停用规则。

 | rules[500]     |                                                               |
 |   index        | 14160                                                         |
 |   name         | SLR: Arbitrary File Upload in Wordpress Gravity Forms plugin  |
 |   rule_id      | 2100105                                                       |
 |   enable       | False                                                         |
 |   rule         | <sensitive>                                                   |
 |   tags[1]      | application-WordPress                                         |
 |   tags[2]      | language-php                                                  |
 |   tags[3]      | platform-multi                                                |
 |   tags[4]      | attack-remote file inclusion                                  |
 |   is_sensitive | True       								    | 

故障排除

  • 应用程序规则模板为空。

    • 检查是否已在 NSX Advanced Load Balancer 云服务中注册控制器。

    • 检查是否已设置启用自动同步应用程序规则数据库的更新选项。

    • 查看 ALBSERVICES 条目的配置审核日志。

  • 应用程序规则阻止合法请求。

  • 未更新应用程序规则。

    • 有关详细信息,请查看 ALBSERVICES 配置审核日志。

    • 更新时间间隔为每天。可以更频繁地执行更新检查。您可在次日再次查看。

注:

仅当应用程序具有新的 CVE 时,才会更新各个应用程序规则。有关 CVE 的更多信息,请参阅什么是 CVE?

有关云服务连接的更多信息,请参阅VMware NSX Advanced Load Balancer 云服务指南》中的“快速入门”主题。

注:

例外不适用于应用程序规则。主要原因是这些规则是特定的,通常仅与特定 URL 上的特定参数相匹配。从规则中排除此参数等同于停用规则,从而完全移除保护。