安全检查概述
Web应用防火墙高级保护(安全检查)是一组过滤器,旨在捕获受保护网站和Web服务上的复杂或未知攻击。安全检查使用启发式、积极安全性和其他技术来检测仅通过签名可能无法检测到的攻击。您可以通过创建和配置Web应用防火墙配置文件来配置安全检查,该配置文件是用户定义设置的集合,用于告诉Web应用防火墙要使用哪些安全检查,以及如何处理未通过安全检查的请求或响应。配置文件与签名对象和策略相关联,以创建安全配置。
Web应用程序防火墙提供了20种安全检查,它们针对的攻击类型和配置的复杂程度差别很大。安全检查分为以下几类:
- 普通安全检查。这些检查适用于不涉及内容的网络安全的任何方面,或者同样适用于所有类型的内容。
- HTML安全检查。检查HTML请求和响应。这些检查适用于基于HTML的网站和包含HTML和XML内容的Web 2.0网站的HTML部分。
- XML安全性检查。检查XML请求和响应。这些检查适用于基于XML的web服务和web 2.0站点的XML部分。
这些安全检查可防止各种类型的攻击,包括针对操作系统和web服务器软件漏洞的攻击、SQL数据库漏洞、网站和web服务的设计和编码错误,以及未能确保托管或可访问敏感信息的网站的安全。
所有安全检查都有一组配置选项,即检查操作,它控制Web应用防火墙如何处理匹配检查的连接。三种检查操作可用于所有安全检查。它们是:
- 块。阻断与签名匹配的连接。默认为关闭。
- 日志。记录与签名匹配的连接,以供以后分析。默认开启。
- 统计数据。维护每个签名的统计信息,显示它匹配了多少个连接,并提供有关被阻止的连接类型的某些其他信息。默认为关闭。
第四个检查动作,学习,可用于超过一半的检查操作。它观察到受保护的网站或web服务的流量,并使用反复违反安全检查的连接来生成建议的检查例外(松弛)或检查的新规则。除了检查操作之外,某些安全检查还具有一些参数,这些参数用于控制检查所使用的规则,以确定哪些连接违反了该检查,或者配置Web应用防火墙对违反检查的连接的响应。这些参数对于每次检查都是不同的,并且它们在每次检查的文档中都有描述。
要配置安全检查,您可以使用Web应用防火墙向导,如Web应用防火墙向导,也可以手动配置安全检查,如通过GUI手工配置.有些任务,例如手动输入松弛或规则或检查学习的数据,只能通过GUI完成,而不是命令行。使用向导通常是最好的配置方法,但是在某些情况下,如果您完全熟悉向导,并且只是想为单个安全检查调整配置,则手动配置可能更容易。
无论您使用哪种方法来配置安全检查,每个安全检查都需要执行特定的任务。许多检查要求您在为该安全检查启用阻塞之前指定异常(松弛)以防止阻塞合法通信。您可以手动执行此操作,方法是在过滤了一定数量的流量后观察日志条目,然后创建必要的异常。然而,启用学习功能并让它观察流量并推荐必要的例外情况通常要容易得多。
Web应用防火墙在处理事务时使用包引擎(PE)。每个包引擎都有100K的会话限制,这对于大多数部署场景来说已经足够了。但是,当Web应用程序防火墙正在处理大量流量并且会话超时配置为较高的值时,会话可能会累积。如果活动的Web应用防火墙会话数量超过每PE 100K的限制,则可能不会将违反Web应用防火墙安全检查的情况发送到security Insight设备。将会话超时降低到较小的值,或者使用无会话模式进行无会话URL关闭或无会话字段一致性的安全检查,可能有助于防止会话累积。如果在事务可能需要更长的会话的场景中这不是一个可行的选择,那么建议升级到具有更多数据包引擎的高端平台。
增加了对缓存AppFirewall的支持,并且通过CLI将每个核心的最大会话设置为50K会话。