以下部分比较了 WAF 配置策略的两种模式。
NSX Advanced Load Balancer 中的 WAF 策略支持的两种模式为检测和实施。每个策略在其中的一种模式下运行以评估请求和响应。
名称 |
检测 |
实施 |
|---|---|---|
策略 |
在攻击期间记录警示,但不会执行拒绝操作。 |
在与策略匹配时拒绝请求,并执行拒绝操作。 |
操作 |
评估整个策略,而不是在命中第一个规则时停止。 |
匹配第一个拒绝请求的规则,并实施默认操作或返回规则特定的错误代码。 |
日志文件 |
包含发现违反策略的 WAF 日志部分以及每个匹配的规则的条目。 |
包含 WAF 日志部分,其中具有第一个拒绝请求的规则。
注:
这是为了提高性能。如果已识别请求是一种攻击,则不需要进一步检查。 |
响应代码 |
200 正常 |
默认值为“403 已禁止”。可以在 WAF 配置文件的默认操作部分中修改此响应代码。 |
选择 WAF 策略模式
您可以选择以下模式之一。支持的模式包括:
检测:在“检测”模式下,将处理规则,但不会执行阻止操作。
实施:在“实施”模式下,将根据定义的默认操作处理规则并执行阻止操作。该默认操作是在 WAF 配置文件中配置的。默认情况下,WAF 会拒绝具有攻击向量的请求,并将相应的日志条目标记为已拒绝。
注:
使用使用策略模式配置某个规则时,将使用总体策略模式(“实施”或“检测”)。
使用建议
请按照提供的步骤为不同的使用场景启用合适的模式。
对于新应用程序:
为应用程序创建虚拟服务。
在检测模式下添加 WAF 策略。
重复执行误报缓解。
在 WAF 没有标记任何合法流量后,更改为实施模式。
对于现有应用程序:
在检测模式下添加 WAF 策略。
重复执行误报缓解。
在 WAF 没有标记任何合法流量后,更改为实施模式。
注:
评估检测模式所花费的时间取决于多个因素,例如,看到的请求总数、Paranoia 模式以及请求的应用程序覆盖范围。
