اي بي دي اس | واف

الموسوعة المعرفية

تجربة موثوقية الموقع

عرض الفئات

اي بي دي اس | واف

6 دقائق للقراءة

جدول المحتويات

استخدم جدار حماية تطبيق الويب (WAF) أداة أساسية لتحديد ومنع حركة مرور HTTP الضارة داخل مزارع HTTP(S). تُحلل هذه الأداة أنماط حركة المرور وتُطبّق سياسات أمان متقدمة من خلال مجموعات مُنظّمة من القواعد المُطبّقة على هذه المزارع. بعد فك تشفير حزم SSL، يُدقّق جدار حماية تطبيقات الويب (WAF) القواعد، مما يسمح له بتطبيق أنماط على نص HTTP ضمن حركة مرور SSL.

استخدم RELIANOID اي بي دي اس تتضمن الحزمة مجموعة القواعد الأساسية لـ OWASP ModSecurity، والذي يأتي مُحمّلًا مسبقًا وجاهزًا للاستخدام. يتمتع المستخدمون أيضًا بمرونة إنشاء مجموعات قواعد مخصصة لحماية شاملة للنظام من مختلف الهجمات. لمزيد من التفاصيل حول قواعد OWASP، راجع مشروع OWASP ModSecurity. بالإضافة إلى ذلك، RELIANOID تمتد وظيفة وحدة WAF إلى ما هو أبعد من حماية HTTP لتشمل التعامل المتقدم مع محتوى HTTP الميزات، مثل عمليات إعادة التوجيه وإعادة الكتابة.

عرض قواعد WAF #

توفر طريقة عرض مجموعات قواعد WAF نظرة عامة على مجموعات القواعد المتاحة وخدمات المزرعة المخصصة لها:

مجموعة قواعد مزرعة WAF الخاصة بـ IPDs لبرنامج Relianoid Load Balancer الإصدار 8

الاسممُعرِّف وصفي لمجموعة قواعد. انقر للوصول إلى نموذج التحرير.
المزارعالمزارع التي تُطبّق عليها القاعدة. وسّع قائمة المزارع باستخدام السهم المتجه لأعلى بجوار مزارع رأس العمود. يقتصر على 20 حرفًا افتراضيًا.
الحالة. حالة مجموعة القواعد، موضحة برموز الألوان:

  • أخضر. يمكن لمستخدمي تطبيق Smart Spaces مع Google Wallet الاستفادة من دخول محمول دون لمس مع أي قارئ HID® Signo™ مُمكَّن بتقنية NFC.. مجموعة القواعد نشطة ويتم التحقق منها للمزارع المخصصة.
  • أحمر. معاق. مجموعة القواعد غير نشطة ولا تؤثر على المزارع.

الإجراءات . الإجراءات المتاحة لحالة مجموعة قواعد WAF:

  • تعديل. قم بتعديل إعدادات مجموعة القواعد أو قم بتعيين خدمة المزرعة إذا لزم الأمر.
  • إعادة تشغيل. إعادة تهيئة قاعدة WAF.
  • الرئيسية. قم بتطبيق مجموعة قواعد WAF.
  • حذف. إزالة مجموعة القواعد.

فهم نظام قواعد OWASP CRS #

استخدم أواسب سي آر إس تشتمل مجموعات القواعد على قواعد عامة للكشف عن الهجمات، مما يوفر مستوى أساسيًا من الحماية لأي تطبيق ويب.

أساليب عملها #

تعمل مجموعات قواعد OWASP CRS المحملة مسبقًا في وضعين:

وضع تسجيل الشذوذ (افتراضي): يوصى بهذا الوضع نظرًا لدقة معلومات السجل وسياسات الحظر المرنة. يُعرف أيضًا باسم "وضع الكشف التعاوني"، فهو يعين "درجة شذوذ" لكل قاعدة مطابقة. في نهاية تقييمات القواعد الواردة والصادرة، تؤدي درجة الشذوذ إلى تفعيل إجراءات الحظر، مما يؤدي عادةً إلى حدوث خطأ افتراضي 403.

وضع قائم بذاته: يطبق هذا الوضع الإجراءات على الفور. مع تقليل استخدام الموارد، فإنه يضحي بالمرونة في حظر السياسات وسجلات التدقيق التفصيلية (يتم تسجيل أول تهديد تم اكتشافه فقط). تتبع القواعد الإجراء التخريبي الذي تحدده (على سبيل المثال، الرفض، والإفلات). تقوم قاعدة المطابقة الأولى بتنفيذ هذا الإجراء، مما يؤدي غالبًا إلى إيقاف التقييم بعد المطابقة الأولية، كما هو الحال مع العديد من معرفات IDS.

قواعد OWASP CRS الأساسية #

يتم ترتيب قواعد الحماية المحملة مسبقًا هذه بناءً على التفضيلات. إذا اخترت استخدامها، يرجى النظر فيها وتطبيقها بالطريقة التالية:

طلب-90-طلب التكوين-901-التهيئة
# قم بتطبيق أي مجموعة قواعد OWASP أخرى بناءً على ما تريد حمايته
طلب-949-حظر-الاستجابة للتقييم-959-حظر-الاستجابة للتقييم-980-الارتباط # لأغراض التسجيل، قم بتمكين هذا فقط لاستكشاف الأخطاء وإصلاحها.

ضمن مجموعة قواعد OWASP الأساسية، فإن طلب-901-التهيئة تعمل مجموعة القواعد كعنصر أساسي، حيث تقدم مجموعة واسعة من الخيارات لتكوين السلوك العام لقواعد الأمان. فهو يوفر للمستخدمين المرونة اللازمة لضبط الإعدادات لتتماشى مع احتياجات الأمان المحددة، مما يشكل العمود الفقري لعملية تكوين القاعدة. الانتقال الى طلب-949-حظر-التقييم و الاستجابة-959-الحظر-التقييم مجموعات القواعد، تلعب دورًا حاسمًا في الوضع الأمني ​​الاستباقي من خلال تقييم وتنفيذ إجراءات الحظر بناءً على درجات الشذوذ. إنها تساهم بشكل كبير في قدرة مجموعة القواعد الأساسية لـ OWASP على تحديد التهديدات المحتملة ومنعها في الوقت الفعلي. واستكمالا لهذه، الاستجابة-980-الارتباط تركز مجموعة القواعد على ربط الاستجابات وتحليلها، مما يعزز القدرة الشاملة لمجموعة القواعد الأساسية لـ OWASP على اكتشاف التحديات الأمنية المتطورة والاستجابة لها بفعالية. تعمل مجموعات القواعد هذه معًا على تمكين المستخدمين من تنفيذ إطار أمان قوي وقابل للتكيف لتطبيقات الويب الخاصة بهم.

فهم مستويات جنون العظمة وأخذ العينات ونقاط الشذوذ #

يتيح لك إعداد مستوى جنون العظمة تحديد شدة عمليات التحقق من القواعد، مما يؤثر على درجات الشذوذ. تعمل مستويات جنون العظمة الأعلى على تعزيز الأمان من خلال تمكين المزيد من القواعد ولكنها قد تزيد من خطر حظر حركة المرور المشروعة بسبب النتائج الإيجابية الخاطئة. توصيات لكل مستوى:

جنون العظمة المستوى 1 (افتراضي): مناسب للمبتدئين، وعمليات التثبيت المتنوعة، وإعدادات الأمان القياسية، مع نتائج إيجابية كاذبة نادرة.
جنون العظمة المستوى 2: يوصى به للمستخدمين المتوسطين إلى ذوي الخبرة الذين يبحثون عن تغطية شاملة وأمان معزز. توقع بعض الإيجابيات الكاذبة.
جنون العظمة المستوى 3: تستهدف المستخدمين ذوي الخبرة في التعامل مع النتائج الإيجابية الكاذبة، للتثبيتات ذات الاحتياجات الأمنية العالية.
جنون العظمة المستوى 4: يُنصح به للمستخدمين ذوي الخبرة في حماية المنشآت ذات متطلبات الأمان العالية جدًا، ولكن من المحتمل أن تنتج عددًا كبيرًا من النتائج الإيجابية الخاطئة التي تتطلب حلاً قبل بدء التشغيل.

لرفع منع مستوى جنون العظمة، انتقل إلى طلب-901-التهيئة القواعد إذن تحرير في الوضع الخام وتعديل معرف القاعدة 901120. يحل محل setvar:'tx.blocking_paranoia_level=1' مع المستوى المفضل لديك.

من خلال توظيف مستوى الكشف عن جنون العظمة، يمكن للمرء تشغيل القواعد من مستوى أعلى من جنون العظمة دون أخذها في الاعتبار عند تسجيل الحالات الشاذة. تتيح هذه المرونة دمج القواعد من مستوى جنون العظمة 2 إلى نظام مضبوط بدقة على مستوى جنون العظمة 1، مما يخفف من المخاوف بشأن الإيجابيات الكاذبة المحتملة التي قد تؤدي إلى تصعيد النتيجة إلى ما هو أبعد من العتبة المحددة. كتكوين افتراضي، يتماشى مستوى جنون العظمة المكتشف مع مستوى جنون العظمة المحظور. لزيادة مستوى الكشف عن جنون العظمة، انتقل إلى طلب-901-التهيئة القواعد إذن تحرير في الوضع الخام وتعديل معرف القاعدة 901125. يحل محل setvar:'tx.detection_paranoia_level=%{TX.blocking_paranoia_level}' مع المستوى المفضل لديك (على سبيل المثال. setvar:'tx.detection_paranoia_level=2').

يتم تعيين مستوى خطورة لكل قاعدة في CRS، بشكل افتراضي تسجيل النقاط مما يدل على التأثير على درجة الشذوذ عندما تتطابق القاعدة. مستويات الخطورة والدرجات المقابلة لها هي كما يلي:

حرج: درجة الشذوذ 5، ويرجع ذلك أساسًا إلى قواعد الهجوم على التطبيقات (ملفات 93x و94x).
خطأ: درجة الشذوذ 4، يتم إنشاؤها في الغالب عن طريق قواعد التسرب للخارج (ملفات 95x).
تحذير: درجة الشذوذ 3، والتي تنتج بشكل أساسي عن قواعد العميل الضارة (ملفات 91x).
إشعار: درجة الشذوذ 2، الناتجة بشكل أساسي عن قواعد البروتوكول (ملفات 92x).

In وضع الشذوذ، تتراكم هذه النتائج، مما يسمح لطلب واحد بتشغيل قواعد متعددة. عادةً ما تكون التعديلات على هذه النقاط الافتراضية غير ضرورية ولكن يمكن تخصيصها بناءً على متطلبات محددة.

ويمكن تعريف درجة الشذوذ التراكمي فيه طلب وارد or الاستجابة الصادرة سيتم حظره. افتراضيًا، تحصل معظم التهديدات الواردة المكتشفة على درجة حرجة تبلغ 5، بينما تحصل الانتهاكات الأصغر على درجات أقل. عند حدود الحظر الافتراضية، يتصرف CRS بشكل مشابه للإصدارات السابقة، حيث يقوم بحظر الطلبات وتسجيلها من خلال تطابق قاعدة مهمة واحدة. يمكن أن يؤدي ضبط حدود الحظر إلى قيم أعلى، مثل 7 أو 10، إلى جعل CRS أقل حساسية، مما يتطلب مطابقات متعددة للقواعد قبل الحظر. ومع ذلك، يُنصح بالحذر، لأن رفع الحدود قد يسمح لبعض الهجمات بتجاوز القواعد أو السياسات. وبدلاً من ذلك، تتضمن استراتيجية النشر الموصى بها في البداية تحديد عتبات عالية لتسجيل الحالات الشاذة (> 100) وخفضها تدريجيًا مع نمو الثقة في النظام، مما يوفر نهجًا استباقيًا لتعزيز الأمان بمرور الوقت.

افتراضيًا، يتم تعيين عتبة درجة الشذوذ الواردة إلى 5 ويتم تعيين عتبة درجة الشذوذ الصادرة على 4. لتعديل عتبة درجة الشذوذ الواردة، انتقل إلى طلب-901-التهيئة القواعد إذن تحرير في الوضع الخام وتعديل معرف القاعدة 901100. يحل محل setvar:'tx.inbound_anomaly_score_threshold=5' مع المستوى المفضل لديك (على سبيل المثال. setvar:'tx.inbound_anomaly_score_threshold=4'). نفس الطريقة بالنسبة ل عتبة درجة الشذوذ الصادرة مع معرف القاعدة 901110 استبدال setvar:'tx.outbound_anomaly_score_threshold=4'.

استخدم حظر وضع التسجيل المبكر للشذوذ يسمح بإجراء تقييم مبكر لدرجات شذوذ الطلب والاستجابة في ختام المرحلة:1 والمرحلة:3، على التوالي، بدلاً من الانتظار حتى نهاية المرحلة:2 والمرحلة:4. يسمح تمكين هذا الوضع بالحظر الفوري إذا تم الوصول إلى عتبة الشذوذ أثناء التقييم المبكر، متجاوزًا تنفيذ المرحلة 2 (والمرحلة 4، على التوالي). لتنشيط الحظر المبكر، قم بتمكين معرف القاعدة 901115 في غضون طلب-901-التهيئة مجموعة القواعد، التي تحدد المتغير tx.early_blocking إلى 1 (معطل افتراضيًا). من المهم ملاحظة أن الحظر المبكر قد يخفي التنبيهات المحتملة، حيث لن يتم تقييم الحمولات التي تؤدي إلى تنبيهات المرحلة 2 (أو المرحلة 4) في حالة تفعيل الحظر المبكر. قد يؤدي تعطيل الحظر المبكر في المستقبل إلى الكشف عن تنبيهات جديدة من المرحلة الثانية.

استخدم التيسير في / النسبة المئوية لأخذ العينات تم تصميم الميزة للتخفيف من المشكلات المحتملة عند دمج CRS في موقع مباشر موجود، مثل النتائج الإيجابية الخاطئة وتأثيرات الأداء غير المتوقعة. لتقديم CRS بحذر، يمكنك في البداية تمكينه لعدد محدود من الطلبات. بمجرد معالجة أية مشكلات، وإنشاء الثقة في الإعداد، يمكنك زيادة نسبة الطلبات الخاضعة لمجموعة القواعد تدريجيًا. اضبط النسبة المئوية للطلبات التي تتم معالجتها بواسطة القواعد الأساسية عن طريق الإعداد tx.sampling_percentage في معرف القاعدة 901130 في غضون طلب-901-التهيئة مجموعة القواعد؛ الافتراضي هو 100، مما يعني أن كل طلب يخضع لفحوصات CRS. يعتمد اختيار الطلبات المحددة على رقم عشوائي زائف تم إنشاؤه بواسطة ModSecurity. إذا تم السماح للطلب بالمرور دون التحقق من CRS، فلن يكون له إدخال في سجل التدقيق لأسباب تتعلق بالأداء، ولكن يتم تسجيل إدخال سجل الأخطاء. لتعطيل إدخال سجل الأخطاء، قم بإصدار التوجيه المحدد بعد تضمين CRS.

📄 قم بتنزيل هذه الوثيقة بصيغة PDF #

    ُ:البريد الالكتروني *

    BetterDocs