從 VMware Cloud Director 10.5.1 開始,您可以在 VMware Cloud Director 環境中使用 NSX Advanced Load Balancer 的 Web 應用程式防火牆功能來保護虛擬服務免受攻擊並主動防範威脅。
在 VMware Cloud Director 中為虛擬服務啟用 WAF 時,這會建立 WAF 原則、WAF 設定檔和 WAF 簽章以連結到該虛擬服務。
必要條件
- 自行熟悉 NSX Advanced Load Balancer WAF 指南。請參閱 VMware NSX Advanced Load Balancer 說明文件。
- 確認您已將具有進階功能集的服務引擎群組指派給 NSX Edge 閘道。
- 確認您以組織管理員身分登入。
程序
- 從左側一級導覽面板中選取資源,然後在頁面頂部導覽列中選取雲端資源。
- 從左側二級面板中,選取 Edge 閘道。
- 按一下設定虛擬服務的 NSX Edge 閘道。
- 按一下相關虛擬服務,然後按一下 WAF。
- 在 [一般] 下,按一下編輯。
- 開啟 WAF 狀態選項。
- 選取 WAF 模式。
選項 敘述 偵測 WAF 原則將評估並處理傳入要求,但不會執行封鎖動作。標記要求時,將建立記錄項目。 強制執行 WAF 原則將根據指定的規則評估並封鎖要求。相應的記錄項目將標記為 REJECTED。 - 按一下儲存。
下一步
如有必要,您可以稍後變更虛擬服務的 WAF 模式,或停用 Web 應用程式防火牆。
為虛擬服務啟用 WAF 後,可以根據需要建立允許清單規則或編輯 WAF 簽章。
為虛擬服務設定允許清單規則
您可以使用允許清單功能來定義 WAF 在處理要求時要套用的比對條件和要執行的關聯動作。
建立 WAF 允許清單規則時,您可以指示 WAF 在特定情況下不套用 WAF 原則,例如,如果要求來自特定的 IP 位址或範圍,或者要求與使用 HTTP 方法比對類型指定的 URL 模式相符。設定允許清單規則有助於防止記錄中出現大量誤報的 WAF 違規,並減少由 WAF 簽章檢查導致的延遲。
程序
編輯虛擬服務的 WAF 簽章
您可以編輯虛擬服務的 WAF 簽章 - 可以將簽章模式從偵測變更為強制執行 (反之亦然),也可以根據需要停用簽章或簽章群組。