Aanbevolen werkwijzen voor verkeersfilterregels, inclusief WAF-regels
Leer geadviseerde beste praktijken voor de regels van de verkeersfilter, met inbegrip van de regels van WAF. Het is belangrijk om op te merken dat de beste praktijken die in dit artikel worden beschreven niet uitputtend zijn en niet bedoeld zijn om uw eigen veiligheidsbeleid en procedures te vervangen.
Algemene beste praktijken
- Om te bepalen welke regels voor uw organisatie aangewezen zijn, werk met uw veiligheidsteam samen.
- Test altijd regels in Dev-omgevingen voordat u ze implementeert in werkgebied- en productieomgevingen.
- Wanneer u regels declareert en valideert, moet u altijd beginnen met
actiontypelogom te zorgen dat de regel het legitieme verkeer niet blokkeert. - Voor bepaalde regels moet de overgang van
lognaarblockuitsluitend gebaseerd zijn op een analyse van voldoende siteverkeer. - Introduceer regels incrementeel, en overweeg het betrekken van uw testteams (QA, prestaties, penetratietests) in het proces.
- Analyseer regelmatig het effect van regels gebruikend het dashboard tooling. Afhankelijk van het verkeersvolume van uw site kan de analyse dagelijks, wekelijks of maandelijks worden uitgevoerd.
- Om kwaadwillig verkeer te blokkeren dat u zich na de analyse kunt bewust zijn, voeg om het even welke extra regels toe. Bijvoorbeeld, bepaalde IPs die uw plaats hebben aangevallen.
- Het creëren, de plaatsing, en de analyse van de regel zouden een lopend, herhalend proces moeten zijn. Het is geen eenmalige activiteit.
Beste werkwijzen voor verkeersfilterregels
Schakel de onderstaande regels voor verkeersfilters in voor uw AEM-project. De gewenste waarden voor de eigenschappen rateLimit en clientCountry moeten echter worden bepaald in samenwerking met uw beveiligingsteam.
kind: CDN
version: '1'
metadata:
envTypes:
- dev
- stage
- prod
data:
trafficFilters:
rules:
# Prevent DoS attacks by blocking client for 5 minutes if they make more than 100 requests in 1 second.
- name: prevent-dos-attacks
when:
reqProperty: path
like: '*'
rateLimit:
limit: 100
window: 1
penalty: 300
groupBy:
- reqProperty: clientIp
action: block
# Block requests coming from OFAC countries
- name: block-ofac-countries
when:
allOf:
- reqProperty: tier
- matches: publish
- reqProperty: clientCountry
in:
- SY
- BY
- MM
- KP
- IQ
- CD
- SD
- IR
- LR
- ZW
- CU
- CI
WARNINGrateLimit te bepalenAanbevolen procedures voor WAF-regels
Zodra de WAF vergunning en toegelaten voor uw programma is, verkeer die de vlaggen van WAF aanpassen verschijnen in grafieken en verzoeklogboeken, zelfs als u hen niet in een regel verklaarde. Zo, bent u zich altijd bewust van potentieel nieuw kwaadwillig verkeer en kan regels tot stand brengen zoals nodig. Kijk naar WAF-vlaggen die niet worden weerspiegeld in de gedeclareerde regels en denk eraan ze te declareren.
Houd rekening met de onderstaande WAF-regels voor uw AEM-project. De gewenste waarden voor de eigenschappen action en wafFlags moeten echter worden bepaald in samenwerking met uw beveiligingsteam.
kind: CDN
version: '1'
metadata:
envTypes:
- dev
- stage
- prod
data:
trafficFilters:
rules:
# Traffic Filter rules shown in above section
...
# Enable WAF protections (only works if WAF is enabled for your environment)
- name: block-waf-flags
when:
reqProperty: tier
matches: "author|publish"
action:
type: block
wafFlags:
- SANS
- TORNODE
- NOUA
- SCANNER
- USERAGENT
- PRIVATEFILE
- ABNORMALPATH
- TRAVERSAL
- NULLBYTE
- BACKDOOR
- LOG4J-JNDI
- SQLI
- XSS
- CODEINJECTION
- CMDEXE
- NO-CONTENT-TYPE
- UTF8
# Disable protection against CMDEXE on /bin
- name: allow-cdmexe-on-root-bin
when:
allOf:
- reqProperty: tier
matches: "author|publish"
- reqProperty: path
matches: "^/bin/.*"
action:
type: allow
wafFlags:
- CMDEXE