例外は、アプリケーションで機能するように WAF ポリシーを調整する一般的な方法です。

これらは通常、アプリケーションの通常のトラフィックが特定の WAF ルールに一致する場合に作成されます。例外を作成するその他の理由は次のとおりです。

  • 誤検出を軽減するため。

  • System-WAF-Policy で確認されないアプリケーションに対処するため。

  • 攻撃のように見える可能性のあるデータを送信するアプリケーションに対処するため。たとえば、クエリ パラメータで HTML コンテンツを転送する場合です。

  • ポリシーで許可されていない特別な要件を持つアプリケーションに対処するため。たとえば、直接 IP アドレスでアプリケーションにアクセスする場合などです。

  • NSX Advanced Load Balancer の推奨システムを使用して例外を作成することも、手動で追加することもできます。

例外を手動で定義するには、次の手順を実行します。

  1. [+例外の追加] をクリックして、手動で例外を構成します。詳細については、例外を参照してください。

  2. IP アドレス/サブネット、パス、または任意の一致要素の例外を構成します。たとえば、Subnet- 10.0.0.0/8, Path- /admin , Match Element - REQUEST_BODY. などです。

  3. 必要に応じて、パスと一致要素に対して次のオプションを構成します。

    1. [大文字と小文字を区別] - 例外を作成するには、文字の大文字と小文字を一致させる必要があります。

    2. [正規表現の一致] - 例外を作成するには、文字列のパターンが一致している必要があります。

注:

例外は、グループ レベルまたはルール レベルで作成できます。

例外が構成されたルールは次のように表示されます。



これは、たとえば ARGS:xyz のような一致要素がある場合、IP とパスに一致する要求では、ルールの処理中に ARGS:xyz が削除される別の例です。


ここではルールが処理されますが、パラメータ ARGS:xyz はルールの実行には使用されません。

推奨される支援ワークフロー

次の手順は、例外を構成するための推奨ワークフローです。

  1. WAF 分析 を使用して、潜在的な誤検出を見つけます。

    1. 誤検出は、多数のクライアント IP アドレスで大量に発生する可能性があります。

    2. 誤検出のコンテキストを理解するには、可能であればアプリケーション所有者に問い合わせてください。

  2. ログで、例外を追加したい WAF ヒット エントリを選択し、[+ 例外の追加] をクリックします。

    1. モーダル ダイアログは、提案された値のセットを生成します。

    2. これらの値は、ログ エントリおよび関連する調査結果から事前に計算されます。

  3. [保存] をクリックして例外を保存し、ポリシーに適用します。