Ab VMware Cloud Director 10.5.1 können Sie die WAF-Funktion (Web Application Firewall) von NSX Advanced Load Balancer in Ihrer VMware Cloud Director-Umgebung verwenden, um Ihre virtuellen Dienste vor Angriffen zu schützen und proaktiv Bedrohungen zu verhindern.
Wenn Sie WAF für einen virtuellen Dienst in VMware Cloud Director aktivieren, werden eine WAF-Richtlinie, ein -Profil sowie -Signaturen erstellt, die an den virtuellen Dienst angehängt werden sollen.
Voraussetzungen
- Machen Sie sich mit dem Handbuch zur NSX Advanced Load Balancer-WAF vertraut. Weitere Informationen finden Sie in der Dokumentation für VMware NSX Advanced Load Balancer.
- Stellen Sie sicher, dass Sie dem NSX Edge Gateway eine Dienstmodulgruppe mit einem Premium-Funktionssatz zugewiesen haben.
- Stellen Sie sicher, dass Sie als Organisationsadministrator angemeldet sind.
Prozedur
- Wählen Sie im primären linken Navigationsbereich Ressourcen und dann in der oberen Navigationsleiste der Seite die Option Cloud-Ressourcen aus.
- Wählen Sie im sekundären linken Bereich Edge-Gateways aus.
- Klicken Sie auf das NSX Edge-Gateway, auf dem der virtuelle Dienst konfiguriert ist.
- Klicken Sie auf den virtuellen Dienst und dann auf WAF.
- Klicken Sie unter „Allgemein“ auf Bearbeiten.
- Aktivieren Sie die Umschaltoption WAF-Status.
- Wählen Sie einen WAF-Modus aus.
Option Bezeichnung Erkennung Die WAF-Richtlinie wertet die eingehende Anforderung aus und verarbeitet sie, führt jedoch keine blockierende Aktion durch. Ein Protokolleintrag wird erstellt, wenn die Anforderung markiert wurde. Erzwingung Die WAF-Richtlinie wertet die Anforderung aus und blockiert die Anforderung basierend auf den angegebenen Regeln. Der entsprechende Protokolleintrag wird als ZURÜCKGEWIESEN markiert. - Klicken Sie auf Speichern.
Nächste Maßnahme
Bei Bedarf können Sie den WAF-Modus für einen virtuellen Dienst später ändern oder die Web Application Firewall deaktivieren.
Nachdem Sie die WAF für Ihren virtuellen Dienst aktiviert haben, können Sie nach Bedarf Positivlistenregeln erstellen oder WAF-Signaturen bearbeiten.
Konfigurieren von Positivlistenregeln für einen virtuellen Dienst
Sie können die Positivlistenfunktion verwenden, um Übereinstimmungsbedingungen und zugehörige Aktionen zu definieren, die die WAF bei der Verarbeitung einer Anforderung ausführen soll.
Wenn Sie WAF-Positivlistenregeln erstellen, weisen Sie die WAF an, die WAF-Richtlinie in bestimmten Fällen nicht anzuwenden, z. B. wenn die Anforderung von einer bestimmten IP-Adresse oder einem bestimmten -Raum stammt oder wenn die Anforderung mit dem URL-Muster übereinstimmt, das mithilfe des HTTP-Methoden-Übereinstimmungstyps angegeben wurde. Durch das Konfigurieren von Positivlistenregeln können Sie verhindern, dass Ihre Protokolle mit falsch positiven WAF-Verstößen überflutet werden, und die von WAF-Signaturüberprüfungen generierte Latenz wird reduziert.
Prozedur
Bearbeiten der WAF-Signaturen für einen virtuellen Dienst
Sie können die WAF-Signaturen für einen virtuellen Dienst bearbeiten. Sie können den Signaturmodus von Erkennung zu Erzwingung ändern (oder umgekehrt) oder, falls erforderlich, eine Signatur oder eine Signaturgruppe deaktivieren.