文件AEMAEM 教學課程AEM as a Cloud Service 教學課程

流量篩選器規則(包括WAF規則)的最佳實務

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主題:

建立對象:

  • undefined
  • undefined
  • undefined

瞭解流量篩選規則(包括WAF規則)的建議最佳實務。 請務必注意,本文中說明的最佳實務並非詳盡無遺,且用意並非要取代您自己的安全性原則和程式。

https://video.tv.adobe.com/v/3425408?quality=12&learn=on

一般最佳實務

  • 若要確定哪些規則適合您的組織,請與您的安全性團隊共同作業。
  • 在將規則部署到中繼和生產環境之前,請一律在開發環境中測試規則。
  • 宣告及驗證規則時,一律以action型別log開頭,以確保規則不會封鎖合法流量。
  • 對於某些規則,從logblock的轉換應該完全以足夠網站流量的分析為基礎。
  • 以漸進方式推出規則,並考慮讓您的測試團隊(QA、效能、滲透測試)參與流程。
  • 使用儀表板工具定期分析規則的影響。 根據您網站的流量而定,可每日、每週或每月執行分析。
  • 若要封鎖分析後可能察覺到的惡意流量,請新增任何其他規則。 例如,某些攻擊您網站的IP。
  • 規則的建立、部署和分析應該是一個持續的、反複的過程。 這不是一次性活動。

流量篩選規則的最佳實務

為您的AEM專案啟用下列流量篩選規則。 但是,rateLimitclientCountry屬性的所需值必須透過與您的安全性團隊共同作業來決定。

kind: CDN
version: '1'
metadata:
  envTypes:
    - dev
    - stage
    - prod
data:
  trafficFilters:
    rules:
    #  Prevent DoS attacks by blocking client for 5 minutes if they make more than 100 requests in 1 second.
      - name: prevent-dos-attacks
        when:
          reqProperty: path
          like: '*'
        rateLimit:
          limit: 100
          window: 1
          penalty: 300
          groupBy:
            - reqProperty: clientIp
        action: block
    # Block requests coming from OFAC countries
      - name: block-ofac-countries
        when:
          allOf:
              - reqProperty: tier
              - matches: publish
              - reqProperty: clientCountry
                in:
                  - SY
                  - BY
                  - MM
                  - KP
                  - IQ
                  - CD
                  - SD
                  - IR
                  - LR
                  - ZW
                  - CU
                  - CI
WARNING
針對您的生產環境,請與您的Web安全性團隊共同作業,以決定rateLimit的適當值

WAF規則的最佳作法

在授權您的程式並啟用WAF後,流量相符的WAF旗標會出現在圖表和請求記錄中,即使您未在規則中宣告它們。 因此,您一律會察覺到潛在的新惡意流量,並可視需要建立規則。 檢視未反映在宣告規則中的WAF標幟,並考慮宣告它們。

請考量下列AEM專案的WAF規則。 但是,actionwafFlags屬性的所需值必須透過與您的安全性團隊共同作業來決定。

kind: CDN
version: '1'
metadata:
  envTypes:
    - dev
    - stage
    - prod
data:
  trafficFilters:
    rules:

    # Traffic Filter rules shown in above section
    ...

    # Enable WAF protections (only works if WAF is enabled for your environment)
      - name: block-waf-flags
        when:
          reqProperty: tier
          matches: "author|publish"
        action:
          type: block
          wafFlags:
            - SANS
            - TORNODE
            - NOUA
            - SCANNER
            - USERAGENT
            - PRIVATEFILE
            - ABNORMALPATH
            - TRAVERSAL
            - NULLBYTE
            - BACKDOOR
            - LOG4J-JNDI
            - SQLI
            - XSS
            - CODEINJECTION
            - CMDEXE
            - NO-CONTENT-TYPE
            - UTF8
    # Disable protection against CMDEXE on /bin
      - name: allow-cdmexe-on-root-bin
        when:
          allOf:
            - reqProperty: tier
              matches: "author|publish"
            - reqProperty: path
              matches: "^/bin/.*"
        action:
          type: allow
          wafFlags:
            - CMDEXE

摘要

總而言之,本教學課程已為您提供在Adobe Experience Manager as a Cloud Service (AEMCS)中加強網頁應用程式安全性所需的知識和工具。 透過實用的規則範例和對結果分析的深入解析,您可以有效地保護您的網站和應用程式。

recommendation-more-help
4859a77c-7971-4ac9-8f5c-4260823c6f69