本节介绍了如何配置 WAF 策略。

注:

  • 导航到模板 > WAF > WAF 策略以找到默认策略。

  • System-WAF-PolicyNSX Advanced Load Balancer 中的默认策略,这是所有新应用程序的建议起点。例如,它包含 NSX Advanced Load Balancer OWASP CRS 特征码。有关更多信息,请参阅特征码 CRS 规则

  • 要自定义策略,强烈建议创建新的策略,而不是编辑默认策略 (System-WAF-Policy)

  • 使用异常检测等功能时,必须启用 CRS 组 CRS_901_Initialization,否则所需的异常阈值不会配置为默认值。通常建议保持该组处于启用状态。

  • 启用应用程序学习的 WAF 策略不能在应用程序之间共享,因为它们包含为该特定应用程序量身定制的配置。

以下是创建新策略的步骤:

  1. 导航到模板 > WAF > WAF 策略

  2. 单击创建

    注:

    创建过程将克隆 System-WAF-Policy,并将其作为新创建的 WAF 策略的基础。

  3. 在以下选项卡下面配置新的 WAF 策略:

    1. 设置

    2. 学习

    3. 允许列表

    4. 主动安全

    5. 应用程序规则

    6. 特征码

  4. 单击保存以创建 WAF 策略。

“设置”选项卡

提供以下详细信息以配置 WAF 策略:

字段

描述

附加信息

名称

输入策略的相关名称。

WAF 配置文件

选择应附加到该策略的 WAF 配置文件。该配置文件包含为 WAF 策略提供补充的常见可重用设置。

有关更多信息,请参阅 WAF 配置文件

策略模式

选择以下模式之一:

  • 检测

  • 实施

有关更多信息,请参阅选择 WAF 策略模式

建议在载入新的应用程序时使用检测模式。有关更多详细信息,请参阅 WAF 模式

有关模式委派的更多信息,请参阅混合模式和启用模式委派

允许委派模式

启用此选项后,WAF 规则可以覆盖选定的策略模式,其中可以为单个规则定义特定的操作(检测或实施),而不管为规则集定义了何种操作。

仅当选定的策略模式为检测时,才会启用允许委派模式复选框,因为对于实施模式,这是必需的。

绕过静态扩展

启用此选项可使静态文件扩展名绕过 WAF。

有关绕过的更多信息,请参阅绕过 WAF

Paranoia 级别

为 WAF 策略设置 Paranoia 级别。这用于确定策略的刚性,并对潜在的误报率具有直接影响。

有关更多信息,请参阅“常见问题解答”一节中的 WAF 中有哪些可用的 Paranoia 模式?选择模式时需要考虑哪些注意事项?

地理数据库

WAF 策略使用的地理位置映射数据库。

模式委派

通过使用模式委派选项,可以使策略能够在以下两种模式下运行:

  • 检测:在“检测”模式下,如果请求与规则匹配,则将标记请求,生成应用程序日志消息(标记为“已标记”),并允许请求通过。

  • 实施:在“实施”模式下,如果请求与规则匹配,则服务引擎将阻止请求,并生成应用程序日志消息(标记为“已拒绝”)。

如果启用模式委派,单个 WAF 规则可以覆盖策略模式,从而导致与其余规则不同的行为。这也称为混合模式,是另一种精确调整方法,可避免合法请求因实施模式而被阻止。

启用模式委派的一些相关用例包括:

  • 测试新规则:您可以配置手动编写的规则或启用了混合模式的新 CRS 规则更新以避免误报。您可以引入新的规则以在检测模式下运行,从而确保不会拒绝合法请求。

  • 部分检测:您可以将一些规则配置为“实施”模式,同时仍将整个 WAF 策略保留为检测模式。

您可以通过以下步骤启用模式委派

  1. NSX Advanced Load Balancer UI 中,导航到模板 > WAF > WAF 策略

  2. 单击创建或编辑现有的 WAF 策略。

  3. 设置选项卡中的策略模式下,选中允许委派模式复选框以启用混合模式。



    要为特定规则启用策略模式,请执行以下操作。

  1. 导航到特征码选项卡并选择 CRS 版本

  2. 展开要编辑的规则所属的

  3. 单击要编辑的规则对应的编辑图标。

  4. 规则模式下面,选择使用策略模式选项。

  5. 单击保存