Sicherheitsüberprüfungen im Überblick
Die erweiterten Schutzmaßnahmen (Sicherheitsprüfungen) der Web App Firewall sind eine Reihe von Filtern, mit denen komplexe oder unbekannte Angriffe auf Ihre geschützten Websites und Webdienste abgewehrt werden können. Die Sicherheitsprüfungen verwenden Heuristiken, positive Sicherheit und andere Techniken, um Angriffe zu erkennen, die möglicherweise nicht allein durch Signaturen erkannt werden können. Sie konfigurieren die Sicherheitsprüfungen, indem Sie ein Web App Firewall-Profil erstellen und konfigurieren. Dabei handelt es sich um eine Sammlung benutzerdefinierter Einstellungen, die der Web App Firewall mitteilen, welche Sicherheitsprüfungen verwendet werden sollen und wie eine Anfrage oder Antwort behandelt werden soll, die eine Sicherheitsprüfung nicht besteht. Ein Profil ist einem Signaturobjekt und einer Richtlinie zur Erstellung einer Sicherheitskonfiguration zugeordnet.
Die Web App Firewall bietet zwanzig Sicherheitsprüfungen, die sich stark in den Arten der Angriffe, auf die sie abzielen, und der Komplexität ihrer Konfiguration unterscheiden. Die Sicherheitskontrollen sind in die folgenden Kategorien unterteilt:
- Allgemeine Sicherheitskontrollen. Prüfungen, die für alle Aspekte der Websicherheit gelten, die entweder keine Inhalte betreffen oder für alle Arten von Inhalten gleichermaßen gelten.
- HTML-Sicherheitschecks. Schecks, die HTML-Anfragen und -Antworten untersuchen. Diese Prüfungen gelten für HTML-basierte Websites und für die HTML-Teile von Web 2.0-Websites, die gemischte HTML- und XML-Inhalte enthalten.
- XML-Sicherheitsprüfungen. Schecks, die XML-Anfragen und -Antworten untersuchen. Diese Prüfungen gelten für XML-basierte Webdienste und für die XML-Teile von Web 2.0-Sites.
Die Sicherheitsüberprüfungen schützen vor einer Vielzahl von Angriffsarten, darunter Angriffe auf Schwachstellen in Betriebssystem- und Webserversoftware, Sicherheitslücken in SQL-Datenbanken, Fehlern beim Design und der Codierung von Websites und Webdiensten sowie vor Fehlern bei der Sicherung von Websites, die vertrauliche Informationen hosten oder darauf zugreifen können.
Alle Sicherheitsüberprüfungen verfügen über eine Reihe von Konfigurationsoptionen, die Prüfaktionen, die steuern, wie die Web App Firewall eine Verbindung verarbeitet, die einer Prüfung entspricht. Drei Prüfaktionen sind für alle Sicherheitsüberprüfungen verfügbar. Sie sind:
- Blockieren. Blockieren Sie Verbindungen, die der Signatur entsprechen. Diese Funktion ist standardmäßig deaktiviert.
- Loggen. Protokollieren Sie Verbindungen, die der Signatur entsprechen, für eine spätere Analyse. Standardmäßig aktiviert.
- Statistiken. Pflegen Sie für jede Signatur Statistiken, die zeigen, wie viele Verbindungen sie zugeordnet hat, und stellen Sie bestimmte andere Informationen über die blockierten Verbindungstypen bereit. Diese Funktion ist standardmäßig deaktiviert.
Eine vierte Prüfaktion, Learn, ist für mehr als die Hälfte der Prüfaktionen verfügbar. Es beobachtet den Datenverkehr zu einer geschützten Website oder einem geschützten Webservice und verwendet Verbindungen, die wiederholt gegen die Sicherheitsüberprüfung verstoßen, um empfohlene Ausnahmen (Erleichterungen) für die Überprüfung oder neue Regeln für die Überprüfung zu generieren. Zusätzlich zu den Überprüfungsaktionen verfügen bestimmte Sicherheitsüberprüfungen über Parameter, die die Regeln steuern, anhand derer die Prüfung ermittelt, welche Verbindungen gegen diese Prüfung verstoßen, oder die die Reaktion der Web App Firewall auf Verbindungen konfigurieren, die gegen die Prüfung verstoßen. Diese Parameter unterscheiden sich für jede Prüfung und werden in der Dokumentation für jede Prüfung beschrieben.
Um Sicherheitsprüfungen zu konfigurieren, können Sie den Web App Firewall-Assistenten verwenden, wie im Web App Firewall-Assistentbeschrieben, oder Sie können die Sicherheitsprüfungen manuell konfigurieren, wie unter Manuelle Konfiguration mit der GUIbeschrieben. Einige Aufgaben, wie das manuelle Eingeben von Entspannungen oder Regeln oder das Überprüfen von erlernten Daten, können nur über die GUI und nicht über die Befehlszeile ausgeführt werden. Die Verwendung des Assistenten ist in der Regel die beste Konfigurationsmethode, aber in einigen Fällen kann die manuelle Konfiguration einfacher sein, wenn Sie mit ihm bestens vertraut sind und die Konfiguration lediglich für eine einzelne Sicherheitsüberprüfung anpassen möchten.
Unabhängig davon, mit welcher Methode Sie die Sicherheitsüberprüfungen konfigurieren, müssen für jede Sicherheitsüberprüfung bestimmte Aufgaben ausgeführt werden. Bei vielen Prüfungen müssen Sie Ausnahmen (Lockerungen) angeben, um zu verhindern, dass legitimer Datenverkehr blockiert wird, bevor Sie die Blockierung für diese Sicherheitsüberprüfung aktivieren. Sie können dies manuell tun, indem Sie die Protokolleinträge beobachten, nachdem eine bestimmte Menge an Datenverkehr gefiltert wurde, und dann die erforderlichen Ausnahmen erstellen. In der Regel ist es jedoch viel einfacher, die Lernfunktion zu aktivieren und sie den Verkehr beobachten und die erforderlichen Ausnahmen empfehlen zu lassen.
Die Web App Firewall verwendet bei der Verarbeitung der Transaktionen Packet Engines (PE). Jede Paket-Engine hat ein Limit von 100.000 Sitzungen, was für die meisten Bereitstellungsszenarien ausreichend ist. Wenn die Web App Firewall jedoch starken Datenverkehr verarbeitet und das Sitzungstimeout auf einen höheren Wert konfiguriert ist, können sich die Sitzungen ansammeln. Wenn die Anzahl der Live-Web App Firewall-Sitzungen das Limit von 100.000 pro PE überschreitet, werden die Verstöße gegen die Web App Firewall-Sicherheitsprüfung möglicherweise nicht an die Security Insight-Appliance gesendet. Wenn Sie das Sitzungstimeout auf einen kleineren Wert senken oder den sitzungslosen Modus für die Sicherheitsprüfungen mit sitzungsloser URL-Schließung oder sitzungsloser Feldkonsistenz verwenden, kann dies dazu beitragen, zu verhindern, dass sich die Sitzungen ansammeln. Wenn dies in Szenarien, in denen Transaktionen möglicherweise längere Sitzungen erfordern, keine praktikable Option ist, wird ein Upgrade auf eine höherwertige Plattform mit mehr Paket-Engine empfohlen.
Unterstützung für zwischengespeicherte AppFirewall wird hinzugefügt, und die maximale Sitzungseinstellung über die CLI pro Kern wird auf 50.000 Sitzungen festgelegt.
Sicherheitsüberprüfungen für Anfragen und Antworten
Im Folgenden finden Sie eine Liste der Sicherheitsüberprüfungen:
Schecks anfordern
Im Folgenden sind die Sicherheitsüberprüfungen für Anfragen aufgeführt:
- Start-URL
- URL verweigern
- Konsistenz von Cookies
- Entführung von Cookies
- Butterüberlauf
- Post-Body-Limit
- Content-Typ
- Ableiten der XML-Nutzlast für Inhaltstypen
- Dateiuploadtyp
- Konsistenz von Formularfeldern
- Feld-Formate
- CSRF-Formular-Tagging
- Siteübergreifendes HTML-Scripting
- HTML-SQL-Injektion
- HTML-Befehlseinschleusung
- Schlüsselwort blockieren — XML
- XML-Format
- XML-Serviceverweigerung
- Site-übergreifende XML-Skrip
- XML SQL Injection
- XML-Anlage
- XML-Nachrichtenüberprüfung
- JSON-Denial-of-Service-Angriff
- JSON-Cross-Site Scripting
- JSON-SQL-Injektion
- JSON-Befehlseinschleusung
- Schlüsselwort blockieren — JSON
Antwortprüfungen
Im Folgenden sind die Antwortsicherheitschecks aufgeführt:
- Kreditkarte
- Sicheres Objekt
- XML-SOAP-Fehlerfilterung
- Ein Teil der Interoperabilität von Webdiensten