اي بي دي اس | واف

الموسوعة المعرفية

تجربة موثوقية الموقع

عرض الفئات

اي بي دي اس | واف

8 دقائق للقراءة

جدول المحتويات

RELIANOID تطبيق الويب جدار الحماية #

استخدم جدار حماية تطبيق الويب (WAF) يعمل كأداة حاسمة في تحديد ومنع حركة مرور HTTP الضارة داخل مزارع HTTP(S). ومن خلال تحليل الأنماط، فإنه يفرض سياسات أمان متقدمة على مجموعات منظمة من القواعد، والتي يتم تطبيقها بعد ذلك على مزارع HTTP. بعد فك تشفير حزم SSL، يتم فحص قواعد WAF، مما يتيح تطبيق الأنماط على نص HTTP داخل حركة مرور SSL.

استخدم RELIANOID اي بي دي اس تتضمن الحزمة مجموعة القواعد الأساسية لـ OWASP ModSecurity، محملة مسبقًا وجاهزة للاستخدام، بينما يحتفظ المستخدمون بالمرونة اللازمة لإنشاء مجموعات قواعد مخصصة لتوفير حماية شاملة للنظام ضد الهجمات المتنوعة. لاستكشاف المزيد من التفاصيل حول قواعد OWASP، يمكن للمستخدمين الرجوع إلى مشروع OWASP Modsecurity. بالإضافة إلى ذلك، فمن الجدير بالذكر أن RELIANOID تعمل وحدة WAF على توسيع وظائفها إلى ما هو أبعد من حماية HTTP لتشمل المعالجة المتقدمة لمحتوى HTTP، بما فيها الموجهات و يعيد كتابة.

عرض قواعد WAF #

تعرض طريقة عرض مجموعات قواعد WAF نظرة عامة على مجموعات القواعد المتاحة وخدمات المزرعة المخصصة:
مجموعة قواعد مزرعة ipds waf

الاسم. اسم وصفي لتحديد مجموعة القواعد. اضغط عليها للدخول إلى نموذج التحرير.
المزارع. المزارع التي تطبق عليها القاعدة. يمكنك توسيع قائمة المزرعة باستخدام سهم لأعلى يوضع بجوار مزارع رأس العمود على يمينه. بشكل افتراضي يقتصر على 20 حرفا.
الوضع. يتم تمثيل حالة مجموعة القواعد برموز ألوان الحالة التالية:

  • أخضر. وسائل ENABLED. يتم التحقق من مجموعة القواعد للمزارع التي تستخدمها.
  • أحمر. وسائل DISABLED. لم يتم تمكين مجموعة القواعد، وبالتالي ليس لها أي تأثير على المزرعة.

الإجراءات . الإجراءات المسموح بها لحالة قواعد WAF:

  • تعديل. قم بتعديل إعدادات مجموعة القواعد أو قم بتعيين خدمة المزرعة إذا لزم الأمر.
  • إعادة تشغيل. إعادة تهيئة قاعدة WAF.
  • بالبداية. قم بتطبيق مجموعة قواعد WAF.
  • حذف. إزالة مجموعة القواعد.

فهم نظام قواعد OWASP CRS #

استخدم أواسب سي آر إس تشتمل مجموعات القواعد على قواعد عامة للكشف عن الهجمات، مما يوفر مستوى أساسيًا من الحماية لأي تطبيق ويب.

أساليب عملها #

تعمل مجموعات قواعد OWASP CRS المحملة مسبقًا في وضعين:

وضع تسجيل الشذوذ (افتراضي): يوصى بهذا الوضع نظرًا لدقة معلومات السجل وسياسات الحظر المرنة. يُعرف أيضًا باسم "وضع الكشف التعاوني"، فهو يعين "درجة شذوذ" لكل قاعدة مطابقة. في نهاية تقييمات القواعد الواردة والصادرة، تؤدي درجة الشذوذ إلى تفعيل إجراءات الحظر، مما يؤدي عادةً إلى حدوث خطأ افتراضي 403.

وضع قائم بذاته: يطبق هذا الوضع الإجراءات على الفور. مع تقليل استخدام الموارد، فإنه يضحي بالمرونة في حظر السياسات وسجلات التدقيق التفصيلية (يتم تسجيل أول تهديد تم اكتشافه فقط). تتبع القواعد الإجراء التخريبي الذي تحدده (على سبيل المثال، الرفض، والإفلات). تقوم قاعدة المطابقة الأولى بتنفيذ هذا الإجراء، مما يؤدي غالبًا إلى إيقاف التقييم بعد المطابقة الأولية، كما هو الحال مع العديد من معرفات IDS.

قواعد OWASP CRS الأساسية #

يتم ترتيب قواعد الحماية المحملة مسبقًا هذه بناءً على التفضيلات. إذا اخترت استخدامها، يرجى النظر فيها وتطبيقها بالطريقة التالية:

طلب-90-طلب التكوين-901-التهيئة
# قم بتطبيق أي مجموعة قواعد OWASP أخرى بناءً على ما تريد حمايته
طلب-949-حظر-الاستجابة للتقييم-959-حظر-الاستجابة للتقييم-980-الارتباط # لأغراض التسجيل، قم بتمكين هذا فقط لاستكشاف الأخطاء وإصلاحها.

ضمن مجموعة قواعد OWASP الأساسية، فإن طلب-901-التهيئة تعمل مجموعة القواعد كعنصر أساسي، حيث تقدم مجموعة واسعة من الخيارات لتكوين السلوك العام لقواعد الأمان. فهو يوفر للمستخدمين المرونة اللازمة لضبط الإعدادات لتتماشى مع احتياجات الأمان المحددة، مما يشكل العمود الفقري لعملية تكوين القاعدة. الانتقال الى طلب-949-حظر-التقييم و الاستجابة-959-الحظر-التقييم مجموعات القواعد، تلعب دورًا حاسمًا في الوضع الأمني ​​الاستباقي من خلال تقييم وتنفيذ إجراءات الحظر بناءً على درجات الشذوذ. إنها تساهم بشكل كبير في قدرة مجموعة القواعد الأساسية لـ OWASP على تحديد التهديدات المحتملة ومنعها في الوقت الفعلي. واستكمالا لهذه، الاستجابة-980-الارتباط تركز مجموعة القواعد على ربط الاستجابات وتحليلها، مما يعزز القدرة الشاملة لمجموعة القواعد الأساسية لـ OWASP على اكتشاف التحديات الأمنية المتطورة والاستجابة لها بفعالية. تعمل مجموعات القواعد هذه معًا على تمكين المستخدمين من تنفيذ إطار أمان قوي وقابل للتكيف لتطبيقات الويب الخاصة بهم.

فهم مستويات جنون العظمة وأخذ العينات ونقاط الشذوذ #

يتيح لك إعداد مستوى جنون العظمة تحديد شدة عمليات التحقق من القواعد، مما يؤثر على درجات الشذوذ. تعمل مستويات جنون العظمة الأعلى على تعزيز الأمان من خلال تمكين المزيد من القواعد ولكنها قد تزيد من خطر حظر حركة المرور المشروعة بسبب النتائج الإيجابية الخاطئة. توصيات لكل مستوى:

جنون العظمة المستوى 1 (افتراضي): مناسب للمبتدئين، وعمليات التثبيت المتنوعة، وإعدادات الأمان القياسية، مع نتائج إيجابية كاذبة نادرة.
جنون العظمة المستوى 2: يوصى به للمستخدمين المتوسطين إلى ذوي الخبرة الذين يبحثون عن تغطية شاملة وأمان معزز. توقع بعض الإيجابيات الكاذبة.
جنون العظمة المستوى 3: تستهدف المستخدمين ذوي الخبرة في التعامل مع النتائج الإيجابية الكاذبة، للتثبيتات ذات الاحتياجات الأمنية العالية.
جنون العظمة المستوى 4: يُنصح به للمستخدمين ذوي الخبرة في حماية المنشآت ذات متطلبات الأمان العالية جدًا، ولكن من المحتمل أن تنتج عددًا كبيرًا من النتائج الإيجابية الخاطئة التي تتطلب حلاً قبل بدء التشغيل.

لرفع منع مستوى جنون العظمة، انتقل إلى طلب-901-التهيئة القواعد إذن تحرير في الوضع الخام وتعديل معرف القاعدة 901120. يحل محل setvar:'tx.blocking_paranoia_level=1' مع المستوى المفضل لديك.

من خلال توظيف مستوى الكشف عن جنون العظمة، يمكن للمرء تشغيل القواعد من مستوى أعلى من جنون العظمة دون أخذها في الاعتبار عند تسجيل الحالات الشاذة. تتيح هذه المرونة دمج القواعد من مستوى جنون العظمة 2 إلى نظام مضبوط بدقة على مستوى جنون العظمة 1، مما يخفف من المخاوف بشأن الإيجابيات الكاذبة المحتملة التي قد تؤدي إلى تصعيد النتيجة إلى ما هو أبعد من العتبة المحددة. كتكوين افتراضي، يتماشى مستوى جنون العظمة المكتشف مع مستوى جنون العظمة المحظور. لزيادة مستوى الكشف عن جنون العظمة، انتقل إلى طلب-901-التهيئة القواعد إذن تحرير في الوضع الخام وتعديل معرف القاعدة 901125. يحل محل setvar:'tx.detection_paranoia_level=%{TX.blocking_paranoia_level}' مع المستوى المفضل لديك (على سبيل المثال. setvar:'tx.detection_paranoia_level=2').

يتم تعيين مستوى خطورة لكل قاعدة في CRS، بشكل افتراضي تسجيل النقاط مما يدل على التأثير على درجة الشذوذ عندما تتطابق القاعدة. مستويات الخطورة والدرجات المقابلة لها هي كما يلي:

حرج: درجة الشذوذ 5، ويرجع ذلك أساسًا إلى قواعد الهجوم على التطبيقات (ملفات 93x و94x).
خطأ: درجة الشذوذ 4، يتم إنشاؤها في الغالب عن طريق قواعد التسرب للخارج (ملفات 95x).
تحذير: درجة الشذوذ 3، والتي تنتج بشكل أساسي عن قواعد العميل الضارة (ملفات 91x).
إشعار: درجة الشذوذ 2، الناتجة بشكل أساسي عن قواعد البروتوكول (ملفات 92x).

In وضع الشذوذ، تتراكم هذه النتائج، مما يسمح لطلب واحد بتشغيل قواعد متعددة. عادةً ما تكون التعديلات على هذه النقاط الافتراضية غير ضرورية ولكن يمكن تخصيصها بناءً على متطلبات محددة.

ويمكن تعريف درجة الشذوذ التراكمي فيه طلب وارد or الاستجابة الصادرة سيتم حظره. افتراضيًا، تحصل معظم التهديدات الواردة المكتشفة على درجة حرجة تبلغ 5، بينما تحصل الانتهاكات الأصغر على درجات أقل. عند حدود الحظر الافتراضية، يتصرف CRS بشكل مشابه للإصدارات السابقة، حيث يقوم بحظر الطلبات وتسجيلها من خلال تطابق قاعدة مهمة واحدة. يمكن أن يؤدي ضبط حدود الحظر إلى قيم أعلى، مثل 7 أو 10، إلى جعل CRS أقل حساسية، مما يتطلب مطابقات متعددة للقواعد قبل الحظر. ومع ذلك، يُنصح بالحذر، لأن رفع الحدود قد يسمح لبعض الهجمات بتجاوز القواعد أو السياسات. وبدلاً من ذلك، تتضمن استراتيجية النشر الموصى بها في البداية تحديد عتبات عالية لتسجيل الحالات الشاذة (> 100) وخفضها تدريجيًا مع نمو الثقة في النظام، مما يوفر نهجًا استباقيًا لتعزيز الأمان بمرور الوقت.

افتراضيًا، يتم تعيين عتبة درجة الشذوذ الواردة إلى 5 ويتم تعيين عتبة درجة الشذوذ الصادرة على 4. لتعديل عتبة درجة الشذوذ الواردة، انتقل إلى طلب-901-التهيئة القواعد إذن تحرير في الوضع الخام وتعديل معرف القاعدة 901100. يحل محل setvar:'tx.inbound_anomaly_score_threshold=5' مع المستوى المفضل لديك (على سبيل المثال. setvar:'tx.inbound_anomaly_score_threshold=4'). نفس الطريقة بالنسبة ل عتبة درجة الشذوذ الصادرة مع معرف القاعدة 901110 استبدال setvar:'tx.outbound_anomaly_score_threshold=4'.

استخدم حظر وضع التسجيل المبكر للشذوذ يسمح بإجراء تقييم مبكر لدرجات شذوذ الطلب والاستجابة في ختام المرحلة:1 والمرحلة:3، على التوالي، بدلاً من الانتظار حتى نهاية المرحلة:2 والمرحلة:4. يسمح تمكين هذا الوضع بالحظر الفوري إذا تم الوصول إلى عتبة الشذوذ أثناء التقييم المبكر، متجاوزًا تنفيذ المرحلة 2 (والمرحلة 4، على التوالي). لتنشيط الحظر المبكر، قم بتمكين معرف القاعدة 901115 في غضون طلب-901-التهيئة مجموعة القواعد، التي تحدد المتغير tx.early_blocking إلى 1 (معطل افتراضيًا). من المهم ملاحظة أن الحظر المبكر قد يخفي التنبيهات المحتملة، حيث لن يتم تقييم الحمولات التي تؤدي إلى تنبيهات المرحلة 2 (أو المرحلة 4) في حالة تفعيل الحظر المبكر. قد يؤدي تعطيل الحظر المبكر في المستقبل إلى الكشف عن تنبيهات جديدة من المرحلة الثانية.

استخدم التيسير في / النسبة المئوية لأخذ العينات تم تصميم الميزة للتخفيف من المشكلات المحتملة عند دمج CRS في موقع مباشر موجود، مثل النتائج الإيجابية الخاطئة وتأثيرات الأداء غير المتوقعة. لتقديم CRS بحذر، يمكنك في البداية تمكينه لعدد محدود من الطلبات. بمجرد معالجة أية مشكلات، وإنشاء الثقة في الإعداد، يمكنك زيادة نسبة الطلبات الخاضعة لمجموعة القواعد تدريجيًا. اضبط النسبة المئوية للطلبات التي تتم معالجتها بواسطة القواعد الأساسية عن طريق الإعداد tx.sampling_percentage في معرف القاعدة 901130 في غضون طلب-901-التهيئة مجموعة القواعد؛ الافتراضي هو 100، مما يعني أن كل طلب يخضع لفحوصات CRS. يعتمد اختيار الطلبات المحددة على رقم عشوائي زائف تم إنشاؤه بواسطة ModSecurity. إذا تم السماح للطلب بالمرور دون التحقق من CRS، فلن يكون له إدخال في سجل التدقيق لأسباب تتعلق بالأداء، ولكن يتم تسجيل إدخال سجل الأخطاء. لتعطيل إدخال سجل الأخطاء، قم بإصدار التوجيه المحدد بعد تضمين CRS.

📄 قم بتنزيل هذه الوثيقة بصيغة PDF #

    ُ:البريد الالكتروني *

    BetterDocs