VMware Cloud Director 10.5.1 開始,您可以在 VMware Cloud Director 環境中使用 NSX Advanced Load Balancer 的 Web 應用程式防火牆功能來保護虛擬服務免受攻擊並主動防範威脅。

VMware Cloud Director 中為虛擬服務啟用 WAF 時,這會建立 WAF 原則、WAF 設定檔和 WAF 簽章以連結到該虛擬服務。

必要條件

  • 自行熟悉 NSX Advanced Load Balancer WAF 指南。請參閱 VMware NSX Advanced Load Balancer 說明文件
  • 確認您的系統管理員已將具有進階功能集的服務引擎群組指派給 NSX Edge 閘道。
  • 確認您以組織管理員身分登入。

程序

  1. 從左側一級導覽面板中選取網路,然後在頁面頂部導覽列中選取 Edge 閘道
  2. 按一下設定虛擬服務的 NSX Edge 閘道。
  3. 按一下相關虛擬服務,然後按一下 WAF
  4. 在 [一般] 下,按一下編輯
  5. 開啟 WAF 狀態選項。
  6. 選取 WAF 模式。
    選項 敘述
    偵測 WAF 原則將評估並處理傳入要求,但不會執行封鎖動作。標記要求時,將建立記錄項目。
    強制執行 WAF 原則將根據指定的規則評估並封鎖要求。相應的記錄項目將標記為 REJECTED
  7. 按一下儲存

下一步

如有必要,您可以稍後變更虛擬服務的 WAF 模式,或停用 Web 應用程式防火牆。

為虛擬服務啟用 WAF 後,可以根據需要建立允許清單規則或編輯 WAF 簽章。

為虛擬服務設定允許清單規則

您可以使用允許清單功能來定義 WAF 在處理要求時要套用的比對條件和要執行的關聯動作。

建立 WAF 允許清單規則時,您可以指示 WAF 在特定情況下不套用 WAF 原則,例如,如果要求來自特定的 IP 位址或範圍,或者要求與使用 HTTP 方法比對類型指定的 URL 模式相符。設定允許清單規則有助於防止記錄中出現大量誤報的 WAF 違規,並減少由 WAF 簽章檢查導致的延遲。

程序

  1. 從左側一級導覽面板中選取網路,然後在頁面頂部導覽列中選取 Edge 閘道
  2. 按一下設定虛擬服務的 NSX Edge 閘道。
  3. 按一下相關虛擬服務,然後按一下 WAF
  4. 在 [允許清單規則] 下,按一下新增
  5. 輸入規則的名稱。
  6. 若要在建立時啟用規則,請開啟作用中切換按鈕。
  7. 選取比對準則。
    選項 敘述
    用戶端 IP 位址
    1. 選取不是,指示是否在用戶端 IP 與您輸入的值相符或不相符時執行動作。
    2. 輸入 IPv4 位址、IPv6 位址、範圍或 CIDR 標記法。
    3. (可選) 若要新增更多 IP 位址,請按一下新增 IP
    HTTP 方法
    1. 選取不是,指示是否在 HTTP 方法與您輸入的值相符或不相符時執行動作。
    2. 從下拉式功能表中,選取一或多個 HTTP 方法。
    路徑
    1. 選取路徑的準則。
    2. 輸入路徑字串。
      備註: 路徑不需要以正斜線 (/) 開頭。
    3. (可選) 若要新增更多路徑,請按一下新增路徑
    主機標頭
    1. 選取主機標頭的準則。
    2. 輸入標頭的值。
    可以為每種類型新增一個準則。
  8. 選取要在相符時套用的動作。
    選項 敘述
    略過 WAF 不會執行任何進一步的規則,並會允許該要求。
    繼續 停止執行允許清單,並繼續執行 WAF 簽章評估。
    偵測模式 WAF 將評估並處理傳入要求,但不會執行封鎖動作。標記要求時,將建立記錄項目。
  9. 按一下新增

編輯虛擬服務的 WAF 簽章

您可以編輯虛擬服務的 WAF 簽章 - 可以將簽章模式從偵測變更為強制執行 (反之亦然),也可以根據需要停用簽章或簽章群組。

程序

  1. 從左側一級導覽面板中選取網路,然後在頁面頂部導覽列中選取 Edge 閘道
  2. 按一下設定虛擬服務的 NSX Edge 閘道。
  3. 按一下相關虛擬服務,然後按一下 WAF
    在 [簽章群組] 區段下,您可以查看 WAF 原則中包含的簽章群組。您可以查看這些簽章群組是否正在使用中。您還可以查看每個群組中處於作用中狀態的規則數目,以及已手動覆寫的規則數目。
  4. 在 [簽章群組] 下,按一下要編輯的簽章群組左側的展開按鈕。
  5. 若要編輯群組的簽章,請按一下編輯簽章
  6. 按一下簽章名稱左側的展開按鈕,然後選取動作。
  7. 按一下儲存
  8. 若要停用簽章群組,請按一下該簽章群組左側的展開按鈕,然後按一下停用