Web Application Firewall (WAF)-Regeln
Die WAF-Regeln schützen Anwendungen und Websites, die auf physischen oder Cloud-basierten Webservern gehostet werden, vor Exploits und Angriffen.
Die Firewall fungiert als Reverse-Proxy und schützt Ihre internen und externen Webserver. Sie können WAF-Regeln für IPv4-Verkehr erstellen.
Mit den WAF-Regeln können Sie virtuelle Webserver festlegen und diese in physische Server konvertieren, ohne DNAT- und Firewall-Regeln konfigurieren zu müssen. Sie können auch Webanwendungen wie Salesforce- und Microsoft-Anwendungen schützen.
Die Firewall bietet vorkonfigurierte WAF-Regelvorlagen mit spezifischen Pfaden und Schutzrichtlinien für Exchange Autodiscover, Exchange General, Exchange Outlook Anywhere, Microsoft Lync, Microsoft Remote Desktop-Webclient und Microsoft Remote Desktop Gateway.
Beschränkung
Derzeit unterstützen WAF-Regeln keine Microsoft Exchange-Versionen nach 2013.
WAF-Regeln sind Teil der Firewall-Regeln. Um eine WAF-Regel zu erstellen, müssen Sie eine Firewall-Regel hinzufügen und die Aktion auf Schützen Sie sich mit dem Webserver-Schutz.
Beschränkung
Die Firewall unterstützt WAF über routenbasiertes IPsec nicht, wenn Sie Verkehrsselektoren für die Subnetze verwenden. Sie können routenbasierte Verbindungen von beliebiger zu beliebiger Art verwenden. Siehe Routenbasiertes VPN.
Sie können maximal 60 WAF-Regeln erstellen. Siehe WAF-Beschränkung.
WAF-Funktionalität
Die Firewall unterstützt das HTTPS-Protokoll mit Server Name Indication (SNI). Dadurch können Sie mehrere virtuelle Webserver über dieselbe IP-Adresse und denselben Port erstellen. Die WAF-Regeln unterstützen Wildcard-Domänen.
Sie können URL-Anfragen an bestimmte Webserver weiterleiten, Sitzungen an einen Webserver binden oder alle Anfragen an einen primären Webserver senden und die anderen als Backup-Server verwenden. Mit den zu den WAF-Regeln hinzugefügten Traffic-Shaping-Richtlinien können Sie Bandbreite zuweisen und den Datenverkehr nach einem Zeitplan priorisieren.
Schutz und Authentifizierung
Schutzrichtlinien: Sie können den WAF-Regeln Richtlinien zur Angriffsprävention und zum Schutz vor Angriffen hinzufügen. Mit Schutzrichtlinien können Sie Webserver vor Schwachstellen wie Cookie-, URL- und Formularmanipulation schützen. Sie schützen Webserver außerdem vor Anwendungs- und Cross-Site-Scripting-Angriffen (XSS). Sie können die Filterstärke für gängige Bedrohungen festlegen.
Mit den Ausnahmen, die Sie in WAF-Regeln erstellen, können Sie einige Arten von Sicherheitsprüfungen für die von Ihnen angegebenen Pfade und Quellen überspringen.
Um langsame HTTP-Denial-of-Service-Angriffe (DoS) zu verhindern und TLS-Versionskontrollen durchzusetzen, gehen Sie zu Webserver > Allgemeine Einstellungen.
Authentifizierungsrichtlinien: In WAF-Regeln können Sie die Clientnetzwerke angeben, die zugelassen oder blockiert werden sollen. Sie können WAF-Regeln auch Authentifizierungsrichtlinien hinzufügen, um Webserver mit einfacher oder formularbasierter Reverse-Proxy-Authentifizierung zu schützen. Mit den Clientauthentifizierungseinstellungen in diesen Richtlinien können Sie den Zugriff auf die in der WAF-Regel angegebenen Pfade steuern.
Authentifizierungsvorlagen: Sie können vorkonfigurierte HTML-Formularvorlagen hochladen. Anpassbare HTML- und CSS-Vorlagen finden Sie auf der Hilfeseite zu Authentifizierungsvorlagen.
Reservierte Ports
Einige Ports können nicht für WAF verwendet werden, da die Firewall sie für Systemdienste reserviert. Diese Ports sind auch dann reserviert, wenn die Dienste nicht genutzt werden. Siehe Reservierte Ports.