Ab VMware Cloud Director 10.5.1 können Sie die WAF-Funktion (Web Application Firewall) von NSX Advanced Load Balancer in Ihrer VMware Cloud Director-Umgebung verwenden, um Ihre virtuellen Dienste vor Angriffen zu schützen und proaktiv Bedrohungen zu verhindern.

Wenn Sie WAF für einen virtuellen Dienst in VMware Cloud Director aktivieren, werden eine WAF-Richtlinie, ein -Profil sowie -Signaturen erstellt, die an den virtuellen Dienst angehängt werden sollen.

Voraussetzungen

  • Machen Sie sich mit dem Handbuch zur NSX Advanced Load Balancer-WAF vertraut. Weitere Informationen finden Sie in der Dokumentation für VMware NSX Advanced Load Balancer.
  • Stellen Sie sicher, dass Ihr Systemadministrator Ihrem NSX Edge Gateway eine Dienstmodulgruppe mit einem Premium-Funktionssatz zugewiesen hat.
  • Stellen Sie sicher, dass Sie als Organisationsadministrator angemeldet sind.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
  2. Klicken Sie auf das NSX Edge-Gateway, auf dem der virtuelle Dienst konfiguriert ist.
  3. Klicken Sie auf den virtuellen Dienst und dann auf WAF.
  4. Klicken Sie unter „Allgemein“ auf Bearbeiten.
  5. Aktivieren Sie die Umschaltoption WAF-Status.
  6. Wählen Sie einen WAF-Modus aus.
    Option Bezeichnung
    Erkennung Die WAF-Richtlinie wertet die eingehende Anforderung aus und verarbeitet sie, führt jedoch keine blockierende Aktion durch. Ein Protokolleintrag wird erstellt, wenn die Anforderung markiert wurde.
    Erzwingung Die WAF-Richtlinie wertet die Anforderung aus und blockiert die Anforderung basierend auf den angegebenen Regeln. Der entsprechende Protokolleintrag wird als ZURÜCKGEWIESEN markiert.
  7. Klicken Sie auf Speichern.

Nächste Maßnahme

Bei Bedarf können Sie den WAF-Modus für einen virtuellen Dienst später ändern oder die Web Application Firewall deaktivieren.

Nachdem Sie die WAF für Ihren virtuellen Dienst aktiviert haben, können Sie nach Bedarf Positivlistenregeln erstellen oder WAF-Signaturen bearbeiten.

Konfigurieren von Positivlistenregeln für einen virtuellen Dienst

Sie können die Positivlistenfunktion verwenden, um Übereinstimmungsbedingungen und zugehörige Aktionen zu definieren, die die WAF bei der Verarbeitung einer Anforderung ausführen soll.

Wenn Sie WAF-Positivlistenregeln erstellen, weisen Sie die WAF an, die WAF-Richtlinie in bestimmten Fällen nicht anzuwenden, z. B. wenn die Anforderung von einer bestimmten IP-Adresse oder einem bestimmten -Raum stammt oder wenn die Anforderung mit dem URL-Muster übereinstimmt, das mithilfe des HTTP-Methoden-Übereinstimmungstyps angegeben wurde. Durch das Konfigurieren von Positivlistenregeln können Sie verhindern, dass Ihre Protokolle mit falsch positiven WAF-Verstößen überflutet werden, und die von WAF-Signaturüberprüfungen generierte Latenz wird reduziert.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
  2. Klicken Sie auf das NSX Edge-Gateway, auf dem der virtuelle Dienst konfiguriert ist.
  3. Klicken Sie auf den virtuellen Dienst und dann auf WAF.
  4. Klicken Sie unter Positivlistenregeln auf Neu.
  5. Geben Sie einen Namen für die Regel ein.
  6. Um die Regel bei der Erstellung zu aktivieren, verwenden Sie die Umschaltoption Aktiv.
  7. Wählen Sie Übereinstimmungskriterien aus.
    Option Bezeichnung
    Client-IP-Adresse
    1. Wählen Sie Ist oder Ist nicht aus, um anzugeben, ob eine Aktion ausgeführt werden soll, wenn die Client-IP mit dem eingegebenen Wert übereinstimmt oder nicht übereinstimmt.
    2. "Geben Sie eine IPv4-Adresse, eine IPv6-Adresse, einen Bereich oder eine CIDR-Notation ein."
    3. (Optional) Um weitere IP-Adressen hinzuzufügen, klicken Sie auf IP hinzufügen.
    HTTP-Methode
    1. Wählen Sie Ist oder Ist nicht, um anzugeben, ob eine Aktion ausgeführt werden soll, wenn die HTTP-Methode mit dem von Ihnen eingegebenen Wert übereinstimmt oder nicht übereinstimmt.
    2. Wählen Sie im Dropdown-Menü eine oder mehrere HTTP-Methoden aus.
    Pfad
    1. Wählen Sie ein Kriterium für den Pfad aus.
    2. Geben Sie eine Pfadzeichenfolge ein.
      Hinweis: Der Pfad muss nicht mit einem Schrägstrich (/) beginnen.
    3. (Optional) Um weitere Pfade hinzuzufügen, klicken Sie auf Pfad hinzufügen.
    Host-Kopfzeile
    1. Wählen Sie ein Kriterium für die Host-Kopfzeile aus.
    2. Geben Sie einen Wert für die Kopfzeile ein.
    Sie können ein Kriterium jedes Typs hinzufügen.
  8. Wählen Sie eine Aktion aus, die nach einer Übereinstimmung durchgeführt werden soll.
    Option Bezeichnung
    Bypass Die WAF führt keine weiteren Regeln aus, und die Anforderung wird zugelassen.
    Fortfahren Stoppt die Ausführung der Positivliste und fährt mit der WAF-Signaturüberprüfung fort.
    Erkennungsmodus Die WAF wertet die eingehende Anforderung aus und verarbeitet sie, führt jedoch keine blockierende Aktion durch. Ein Protokolleintrag wird erstellt, wenn die Anforderung markiert wurde.
  9. Klicken Sie auf Hinzufügen.

Bearbeiten der WAF-Signaturen für einen virtuellen Dienst

Sie können die WAF-Signaturen für einen virtuellen Dienst bearbeiten. Sie können den Signaturmodus von Erkennung zu Erzwingung ändern (oder umgekehrt) oder, falls erforderlich, eine Signatur oder eine Signaturgruppe deaktivieren.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
  2. Klicken Sie auf das NSX Edge-Gateway, auf dem der virtuelle Dienst konfiguriert ist.
  3. Klicken Sie auf den virtuellen Dienst und dann auf WAF.
    Im Abschnitt „Signaturgruppen“ werden die Signaturgruppen angezeigt, die in Ihrer WAF-Richtlinie enthalten sind. Sie können sehen, ob sie aktiv verwendet werden oder nicht. Sie können auch die Anzahl der Regeln anzeigen, die in den einzelnen Gruppen aktiv sind, sowie die Anzahl der Regeln, die manuell überschrieben wurden.
  4. Klicken Sie unter Signaturgruppen auf die Erweiterungsschaltfläche links neben der Signaturgruppe, die Sie bearbeiten möchten.
  5. Um die Signaturen einer Gruppe zu bearbeiten, klicken Sie auf Signaturen bearbeiten.
  6. Klicken Sie links neben dem Signaturnamen auf die Erweiterungsschaltfläche zum Erweitern und wählen Sie eine Aktion aus.
  7. Klicken Sie auf Speichern.
  8. Um eine Signaturgruppe zu deaktivieren, klicken Sie auf die Erweiterungsschaltfläche links neben der Signaturgruppe und dann auf Deaktivieren.