À partir de VMware Cloud Director 10.5.1, vous pouvez utiliser la fonctionnalité de pare-feu d'application Web de NSX Advanced Load Balancer dans votre environnement VMware Cloud Director pour protéger vos services virtuels contre les attaques et pour prévenir les menaces de manière proactive.
Lorsque vous activez WAF pour un service virtuel dans VMware Cloud Director, cela crée une stratégie WAF, un profil WAF et des signatures WAF à attacher au service virtuel.
Conditions préalables
- Familiarisez-vous avec le guide WAF de NSX Advanced Load Balancer. Consultez la documentation de VMware NSX Advanced Load Balancer.
- Vérifiez que votre administrateur système a attribué un groupe de moteurs de service avec un ensemble de fonctionnalités Premium à votre passerelle NSX Edge.
- Vérifiez que vous êtes connecté en tant qu'administrateur d'organisation.
Procédure
- Dans le panneau de navigation de gauche principal, sélectionnez Mise en réseau et, dans la barre de navigation supérieure de la page, sélectionnez Passerelles Edge.
- Cliquez sur la passerelle NSX Edge sur laquelle le service virtuel est configuré.
- Cliquez sur le service virtuel, puis sur WAF.
- Sous Général cliquez sur Modifier.
- Activez l'option État WAF.
- Sélectionnez un mode WAF.
Option Description Détection La stratégie WAF évalue et traite la demande entrante, mais n'effectue aucune action bloquante. Une entrée de journal est créée lorsque la demande est signalée. Application La stratégie WAF évalue la demande et la bloque en fonction des règles spécifiées. L'entrée de journal correspondante est marquée comme REJETÉ. - Cliquez sur Enregistrer.
Que faire ensuite
Si nécessaire, vous pouvez modifier le mode WAF d'un service virtuel ultérieurement ou désactiver le pare-feu d'application Web.
Après avoir activé WAF pour votre service virtuel, vous pouvez créer des règles de liste autorisée ou modifier les signatures WAF si nécessaire.
Configurer les règles de liste autorisée pour un service virtuel
Vous pouvez utiliser la fonctionnalité de liste autorisée pour définir les conditions de correspondance et les actions associées que le WAF doit effectuer lors du traitement d'une demande.
Lorsque vous créez des règles de liste autorisée WAF, vous demandez au WAF de ne pas appliquer la stratégie WAF dans des cas spécifiques, par exemple, si la demande provient d'une adresse IP ou d'une plage d'adresses IP spécifiques, ou si la demande correspond au modèle d'URL spécifié à l'aide du type de correspondance de méthode HTTP. La configuration de règles de liste autorisée peut vous aider à éviter la saturation de vos journaux avec de fausses violations de WAF positives et réduit la latence générée par les inspections de signature WAF.
Procédure
Modifier les signatures WAF d'un service virtuel
Vous pouvez modifier les signatures WAF d'un service virtuel : vous pouvez modifier un mode de signature de Détection à Application ou inversement, ou, si nécessaire, désactiver une signature ou un groupe de signatures.