URL-Prufung starten

Die Start-URL-Prüfung untersucht Die URL in eingehenden Anforderungen und blockiert den Verbindungsversuch, wenn Die URL Die angegebenen Kriterien nicht erfüllt。Um die Kriterien zu erfüllen, muss die URL mit einem Eintrag in der list Start-URL übereinstimmen, es sei denn, der Parameter URL- schließ ung erzwingen ist aktiviert。Wenn Sie diesen参数aktivieren, ist ein Benutzer, der auf einen Link auf Ihrer Website klick, mit dem Ziel dieses Links verbunden。

Der Hauptzweck Der Start-URL-Prüfung besteht darin, wiederholte Versuche zu verhindern, auf zufällige url auf einer网站zuzugreifen (kraftvolles Surfen) durch Lesezeichen, externe链接oder das Springen祖seiten, indem die url manuell eingegeben werden, um diesen Teil Der网站祖erreichen。Erzwungenes Browsen, kann verwendet werden, um einen Pufferüberlauf auszulösen, en en en, auf die Benutzer nicht direkt zugreifen sollen, oder eine Hintertür in sicheren Bereichen Ihres Webservers zfinden。Die Web App Firewall erzwingt den angegebenen Traversal- oder Logikpfad einer Website, indem nur Zugriff auf Die URLs gewährt ward, Die als Start-URLs konfiguriert sind。

Wenn Sie den Assistenten oder die GUI verwenden, können Sie im对话框开始URL检查ändern auf der Registerkarte Allgemein Sperren, Protokollieren, statisticken, lereraktionen und die folgenden参数aktivieren oder deaktivieren:

• URL-Schließ)erzwingen。Ermöglichen奥地利贝努泽恩州祖格里夫州的网址网址网址网址网址网址网址网址网址Benutzer können zu jeder Seite Ihrer网站导航，die von der Startseite oder einer bestimmten Startseite aus erreicht werden kann, indem sie auf超链接klicken。Hinweis: Die URL-Schließfunktion ermöglicht es, jede Abfragezeichenfolge anzuhängen und mit der Aktion-URL eines Webformulars zu senden, das mit der HTTP-GET-Methode gesendet wd。Wenn Ihre geschützten网站公式für den Zugriff auf eine SQL-Datenbank verwenden, stellen Sie sicher, dass Sie die SQL-Injection-Prüfung aktiviert und ordnungsgemäß konfiguriert haben。
• Sitzungsloser URL-Abschluss。Aus Sicht des Kunden funktioniert diese Art von URL- schließ ung genauso wie die standardmäßige, sitzungsbewusste URL- schließ ung, verwendet aber ein in die URL eingebettetes Token anstelle eines Cookies, um die Aktivität des Benutzers zu verfolgen，是deutlich weniger Ressourcen verbraucht。Wenn sitzungslose URL-Schließung aktiviert ist, hängt die Web App Firewall ein as_url_id -标记所有url, die sich im URL-Abschluss befinden。Hinweis: Wenn Sie sessionless (sessionless URL Closure) aktivieren, müssen Sie auch den regulären URL-Closure aktivieren (URL-Closure erzwingen)， oder sitzungslose URL-Closure funktioniert nicht。
• referer头validieren。Stellen Sie sicher, dass der Referer-Header in einer Anfrage, die Webformulardaten von Ihrer geschützten网站anstelle einer anderen网站enthält。Diese Aktion überprüft, ob Ihre网站，kein externer Angreifer, die Quelle des Webformulars ist。Dadurch古怪vor跨站点请求伪造(CSRF) geschützt，一个类公式标记erforderlich ist，是cpu密集型als Header-Prüfungen。Die Web App Firewall kann den HTTP-Referer-Header auf eine der folgenden vier Arten verarbeiten, je nachdem, welche Option Sie in der dropdownlist auswählen:
  • 从- Validieren Sie den referer - head晚上。
  • 如果存在-Validieren Sie den参考头，wenn in参考头vorhanden ist。Wenn ein ungültiger Referer-Header gefunden wild, generiert die Anforderung eine Referer-Header- verletzung。Wenn kein Referer-Header vorhanden ist, generert die Anforderung keine verwei - header - verletzung。Mit dieser Option kann die Web App Firewall Referer-Header- validierung für Anforderungen durchführen, die einen Referer-Header enthalten, aber keine Anforderungen von Benutzern blockieren, deren Browser den Referer-Header nicht festlegen oder webproxy oder Filter verwenden, die diesen Header entfernen。
  • 总盟ßer Start-URLs-Validieren Sie den参考头immer。Wenn kein Referer-Header vorhanden ist und die angeforderte URL nicht von der StartURL-Relaxationsregel ausgenmen wonder, generert die Anforderung eine Referer-Header- verletzung。Wenn der Referer-Header vorhanden ist, aber ungültig ist, generert die Anforderung eine Referer-Header- verletzung。
  • 总是排除第一个请求- Validieren Sie immer den参考头。Wenn kein Referer-Header vorhanden ist, ist nur die URL zulässig, auf die zuerst zugegriffen wild。Alle anderen URLs sind ohne gültige Referer-Header gesperrt。Wenn der Referer-Header vorhanden ist, aber ungültig ist, generert die Anforderung eine Referer-Header- verletzung。

Start-URL-Einstellung的风景明信片,闭包url von Sicherheitsprüfungenausschließen, wildnicht im对话框开始URL检查ändern konfiguriert, sondern auf der Registerkarte Einstellungen des Profils konfiguriert。Wenn diese Einstellung aktiviert ist, weist die Web App Firewall darauf hin, keine weiteren formularbasierten Prüfungen (wie跨站点脚本和SQL Injection-Prüfung) für url durchzuführen, die die URL-Schließungskriterien erfüllen。

Hinweis:

Obwohl die Referer-Header-Prüfung und die Start-URL-Sicherheitsprüfung dieselben Aktionseinstellungen verwenden, ist es möglich, die Referer-Header-Prüfung祖verletzen, ohne die Start-URL-Prüfung祖verletzen。Der Unterschied ist in den Protokollen sichtbar, die Verweiskopfverletzungen getrennt von Start-URL-Überprüfungsverletzungen protokollieren。

Die Referer-Header-Einstellungen (OFF, IF-Present, always always epeptstarturls和always always epeptfirst strequest)

:

• 参考头古怪的nicht geprüft。

要是vorhanden:

• Anfrage hat keinen参考头-> Anfrage ist erlaubt。
• URL-Schließung -> Anfrage ist erlaubt中的Referer-Header和die Referer-URL ist。
• Anfrage hat引用头和引用url列表错的在URL-Schließung -> Anfrage ist blockiert。

AlwaysExceptStartURLs:

• Anfrage hat keinen Referer-Header und die Anforderungs-URL ist eine Start-URL -> Anfrage ist erlaubt。
• Anfrage hat keinen Referer-Header und die Anforderung - url ist keine Start-URL ->Anforderung - ist blockiert。
• URL-Schließung -> Anfrage ist erlaubt中的Referer-Header和die Referer-URL ist。
• Anfrage hat引用头和引用url列表错的在URL-Schließung -> Anfrage ist blockiert。

AlwaysExceptFirstRequest:

• 安法瑞克，安法瑞克，安法瑞克，安法瑞克。
• Anfrage hat keinen Referer-Header und ist错的死在安弗德隆斯-西宗-安弗拉格斯特。
• 在URL-Schließung -> Anfrage ist erlaubt中，Anforderungs-URL der Sitzung oder der。
• 在URL-Schließung -> Anfrage ist blockiert中请求Referer-Header和weder die erste Anforderungs-URL der Sitzung noch befindet sich。

我们的生命是美好的，können我们的生命是美好的，我们的生命是美好的，我们的生命是美好的Start-URL-Prüfung

• set appfw profile -startURLAction [block] [learn] [log] [stats] [none]
• 设置appfw profile -startURLClosure ([ON] | [OFF])
• 设置appfw profile -sessionlessURLClosure ([ON] | [OFF])
• set appfw profile - exceptclosureurlsfromsecuritychecks ([ON] | [OFF)
• set appfw profile -RefererHeaderCheck ([OFF] | [if-present] | [AlwaysExceptStartURLs] | [AlwaysExceptFirstRequest])

嗯Relaxationen für die Start-URL-Prüfung festzulegen, müssen Sie die GUI verwenden。Klicken Sie auf der Registerkarte Prüfungen des Dialogfeld开始URL检查ändern auf Hinzufügen, um das Dialogfeld开始URL检查松弛hinzufügen zu öffnen, oder wählen Sie eine vorhandene Entspannung aus, und Klicken Sie auf Öffnen, um das Dialogfeld URL检查松弛ändern zu öffnen。Beide对话felder bieten die gleichen选项für die Konfiguration einer Entspannung。

Im Folgenden finden Sie Beispiele für Start-URL-Check-Relaxationen:

• Erlauben Sie den Zugriff auf die网址www.example.com

  ^ http://www[。][示例。com $ < !——NeedCopy >

• Benutzer können auf alle Webseiten im statischen HTML (.htm und . HTML)， serveranalysierten HTML(。PHP (.php)和Microsoft ASP (.asp)下www.example.com zugreifen

  ^ http://www[][]例子com/ ([0-9A-Za-z] [0-9A-Za-z _-]\*/)\* [ 0-9A-Za-z] [0-9A-Za-z_. -] * [] (asp php | | htp |年代html ?) $ < !——NeedCopy >

• Benutzer können auf Webseiten mit Pfadnamen oder Dateinamen zugreifen, die niccht - ascii - zeichen enthalten, unter www.example-español.com:

  ^ http://www [] example-espaxC3xB1ol [,] com/ (((0-9A-Za-z) | x [0-9A-Fa-f] [0-9A-Fa-f]) ([0-9A-Za-z_ -] [0-9A-Fa-f] [0-9A-Fa-f | x ])\*/)\* ([ 0-9A-Za-z] | x [0-9A-Fa-f] [0-9A-Fa-f]) ([0-9A-Za-z_ -] | x [0-9A-Fa-f] [0-9A-Fa-f]) *(。)(asp php | | htp |年代html ?) $ < !——NeedCopy >

  Hinweis:我是奥斯德鲁克·伍德·杰德·Zeichenklasse·der Zeichenfolge x[0-9a-Fa-F][0-9a-Fa-F]格鲁皮埃特，艾伦ordnungsgemäß konstruierten Zeichencodierungszeichenfolgen entsprict, aber keine streunenden Backslash-Zeichen zulässt, die nicht mit einer UTF-8-Zeichencodierungszeichenfolge verknüpft sind。Der doppelte umgekehrte Schrägstrich () ist in maskierter umgekehrter Schrägstrich, Der die Web App Firewall anweist, ihn als wörtlichen umgekehrten Schrägstrich zu interpretieren。Wenn Sie nur einen umgekehrten Schrägstrich enthalten, interpretiert die Web App Firewall stattdessen die folgende linke eckige Klammer ([) als Literalzeichen anstelle des Öffnens einer Zeichenklasse, wodurch der Ausdruck unterbrochen狂野。

• Ermöglichen Sie Benutzern den Zugriff auf alle Grafiken im格式GIF (.gif)， JPEG (.jpg和。JPEG)和PNG (.png)下www.example.com:

  ^ http://www[][]例子com/ ([0-9A-Za-z] [0-9A-Za-z _-]\*/)\* [ 0-9A-Za-z] [0-9A-Za-z_. -] * [] (gif | jpe ? g | png) $ < !——NeedCopy >

• Erlauben Sie Benutzern den Zugriff auf CGI- (.cgi) und PERL-Skripts (.pl)， jedoch nur im CGI- bin - verzeichnis:

  ^ http://www[][]例子com/CGI-BIN/ [0-9A-Za-z] [0-9A-Za-z_. -] * [] (cgi | pl) $ < !——NeedCopy >

• Erlauben Sie Benutzern den Zugriff auf Microsoft Office und andere Dokumentdateien im Verzeichnis文档档案:

  ^ http://www[][]例子com/docsarchive/ [0-9A-Za-z] [0-9A-Za-z_ -。]* [](doc | xls | pdf | ppt) $ < !——NeedCopy >

Hinweis:

Standardmäßig gelten alle Web应用程序防火墙url reguläre Ausdrücke。

Achtung: Reguläre Ausdrücke sind leistungsstark。Vor allem, wenn Sie mit regulären Ausdrücken im PCRE-Format nicht vertraut sind， überprüfen Sie alle regulären Ausdrücke, die Sie schreiben。Stellen Sie sicher, dass Sie genau die URL definieren, die Sie als Ausnahme hinzufügen möchten, und nichts anderes。“我的世界”“我的世界”“我的世界”“我的世界”“我的世界”“我的世界”“我的世界”“我的世界”“我的世界”“我的世界”“我的世界”“我的世界”“我的世界”“我的世界”“我的世界”“我的世界”Start-URL-Prüfung“我的世界”hätte。

Tipp

您可以在达斯图标-zur zulässigen列出von SQL-Schlüsselwörtern für das URL-Benennungsschema hinzufügen。例如https://FQDN/bread-and-butter．