À partir de VMware Cloud Director 10.5.1, vous pouvez utiliser la fonctionnalité de pare-feu d'application Web de NSX Advanced Load Balancer dans votre environnement VMware Cloud Director pour protéger vos services virtuels contre les attaques et pour prévenir les menaces de manière proactive.

Lorsque vous activez WAF pour un service virtuel dans VMware Cloud Director, cela crée une stratégie WAF, un profil WAF et des signatures WAF à attacher au service virtuel.

Conditions préalables

  • Familiarisez-vous avec le guide WAF de NSX Advanced Load Balancer. Consultez la documentation de VMware NSX Advanced Load Balancer.
  • Vérifiez que votre administrateur système a attribué un groupe de moteurs de service avec un ensemble de fonctionnalités Premium à votre passerelle NSX Edge.
  • Vérifiez que vous êtes connecté en tant qu'administrateur d'organisation.

Procédure

  1. Dans le panneau de navigation de gauche principal, sélectionnez Mise en réseau et, dans la barre de navigation supérieure de la page, sélectionnez Passerelles Edge.
  2. Cliquez sur la passerelle NSX Edge sur laquelle le service virtuel est configuré.
  3. Cliquez sur le service virtuel, puis sur WAF.
  4. Sous Général cliquez sur Modifier.
  5. Activez l'option État WAF.
  6. Sélectionnez un mode WAF.
    Option Description
    Détection La stratégie WAF évalue et traite la demande entrante, mais n'effectue aucune action bloquante. Une entrée de journal est créée lorsque la demande est signalée.
    Application La stratégie WAF évalue la demande et la bloque en fonction des règles spécifiées. L'entrée de journal correspondante est marquée comme REJETÉ.
  7. Cliquez sur Enregistrer.

Que faire ensuite

Si nécessaire, vous pouvez modifier le mode WAF d'un service virtuel ultérieurement ou désactiver le pare-feu d'application Web.

Après avoir activé WAF pour votre service virtuel, vous pouvez créer des règles de liste autorisée ou modifier les signatures WAF si nécessaire.

Configurer les règles de liste autorisée pour un service virtuel

Vous pouvez utiliser la fonctionnalité de liste autorisée pour définir les conditions de correspondance et les actions associées que le WAF doit effectuer lors du traitement d'une demande.

Lorsque vous créez des règles de liste autorisée WAF, vous demandez au WAF de ne pas appliquer la stratégie WAF dans des cas spécifiques, par exemple, si la demande provient d'une adresse IP ou d'une plage d'adresses IP spécifiques, ou si la demande correspond au modèle d'URL spécifié à l'aide du type de correspondance de méthode HTTP. La configuration de règles de liste autorisée peut vous aider à éviter la saturation de vos journaux avec de fausses violations de WAF positives et réduit la latence générée par les inspections de signature WAF.

Procédure

  1. Dans le panneau de navigation de gauche principal, sélectionnez Mise en réseau et, dans la barre de navigation supérieure de la page, sélectionnez Passerelles Edge.
  2. Cliquez sur la passerelle NSX Edge sur laquelle le service virtuel est configuré.
  3. Cliquez sur le service virtuel, puis sur WAF.
  4. Sous Règles de liste autorisée, cliquez sur Nouveau.
  5. Entrez un nom pour la règle.
  6. Pour activer la règle lors de la création, activez l'option Activer.
  7. Sélectionnez les critères de correspondance.
    Option Description
    Adresse IP du client
    1. Sélectionnez Est ou N'est pas pour indiquer si vous souhaitez effectuer une action selon que l'adresse IP du client correspond ou non à la valeur que vous entrez.
    2. Entrez une adresse IPv4, une adresse IPv6 ou une plage ou une notation CIDR.
    3. (Facultatif) Pour ajouter d'autres adresses IP, cliquez sur Ajouter une adresse IP.
    Méthode HTTP
    1. Sélectionnez Est ou N'est pas pour indiquer si vous voulez effectuer une action selon que la méthode HTTP correspond ou non à la valeur que vous entrez.
    2. Dans le menu déroulant, sélectionnez une ou plusieurs méthodes HTTP.
    Chemin
    1. Sélectionnez un critère pour le chemin d'accès.
    2. Entrez une chaîne de chemin.
      Note : Il n'est pas nécessaire que le chemin d'accès commence par une barre oblique (/).
    3. (Facultatif) Pour ajouter davantage de chemins, cliquez sur Ajouter un chemin.
    En-tête de l'hôte
    1. Sélectionnez un critère pour l'en-tête de l'hôte
    2. Entrez une valeur pour l'en-tête.
    Vous pouvez ajouter un critère de chaque type.
  8. Sélectionnez une action à appliquer en cas de correspondance.
    Option Description
    Contourner Le WAF n'exécute pas d'autres règles et la demande est autorisée.
    Continuer Arrête l'exécution de la liste autorisée et procède à l'évaluation de la signature WAF.
    Mode de détection Le WAF évalue et traite la demande entrante, mais n'effectue pas d'action bloquante. Une entrée de journal est créée lorsque la demande est signalée.
  9. Cliquez sur Ajouter.

Modifier les signatures WAF d'un service virtuel

Vous pouvez modifier les signatures WAF d'un service virtuel : vous pouvez modifier un mode de signature de Détection à Application ou inversement, ou, si nécessaire, désactiver une signature ou un groupe de signatures.

Procédure

  1. Dans le panneau de navigation de gauche principal, sélectionnez Mise en réseau et, dans la barre de navigation supérieure de la page, sélectionnez Passerelles Edge.
  2. Cliquez sur la passerelle NSX Edge sur laquelle le service virtuel est configuré.
  3. Cliquez sur le service virtuel, puis sur WAF.
    Sous la section Groupes de signatures, vous pouvez voir les groupes de signatures qui sont inclus dans votre stratégie WAF. Vous pouvez voir s'ils sont activement utilisés ou non. Vous pouvez également voir le nombre ou les règles de chaque groupe qui sont actives et le nombre de règles qui ont été remplacées manuellement.
  4. Sous Groupes de signatures, cliquez sur le bouton de développement à gauche du groupe de signatures que vous souhaitez modifier.
  5. Pour modifier les signatures d'un groupe, cliquez sur Modifier les signatures.
  6. Cliquez sur le bouton de développement à gauche du nom de la signature et sélectionnez une action.
  7. Cliquez sur Enregistrer.
  8. Pour désactiver un groupe de signatures, cliquez sur le bouton de développement à gauche du groupe de signatures, puis cliquez sur Désactiver.