Web Application Firewall (WAF)-Regeln
Die WAF-Regeln schützen Anwendungen und Websites, die auf physischen oder Cloud-basierten Webservern gehostet werden, vor Exploits und Angriffen.
Die Firewall fungiert als Reverse-Proxy und schützt Ihre internen und externen Webserver. Sie können WAF-Regeln für IPv4-Datenverkehr erstellen.
Mithilfe der WAF-Regeln können Sie virtuelle Webserver festlegen und diese ohne Konfiguration von DNAT- und Firewall-Regeln in physische Server übersetzen. Außerdem können Sie Webanwendungen wie Salesforce- und Microsoft-Anwendungen schützen.
Die Firewall bietet vorkonfigurierte WAF-Regelvorlagen mit spezifischen Pfaden und Schutzrichtlinien für Exchange Autodiscover, Exchange General, Exchange Outlook Anywhere, Microsoft Lync, Microsoft Remote Desktop Webclient und Microsoft Remote Desktop Gateway.
Beschränkung
Aktuell unterstützen WAF-Regeln keine Microsoft Exchange-Versionen nach 2013.
WAF-Regeln sind Teil der Firewall-Regeln. Um eine WAF-Regel zu erstellen, müssen Sie eine Firewall-Regel hinzufügen und die Aktion festlegen. Schützen Sie sich mit Webserver-Schutz.
Beschränkung
Die Firewall unterstützt keine WAF über routenbasiertes IPsec, wenn Sie Traffic-Selektoren für die Subnetze verwenden. Sie können beliebige routenbasierte Verbindungen verwenden. Siehe Routenbasiertes VPN.
Die WAF unterstützt kein WebDAV, daher werden Anwendungen wie Nextcloud nicht unterstützt. Wir empfehlen, diesen Datenverkehr über Firewall-Regeln anstatt über WAF-Regeln zu leiten.
Sie können maximal 60 WAF-Regeln erstellen. Siehe WAF-Beschränkung.
WAF-Funktionalität
Die Firewall unterstützt das HTTPS-Protokoll mit Server Name Indication (SNI), wodurch Sie mehrere virtuelle Webserver über dieselbe IP-Adresse und denselben Port einrichten können. Die WAF-Regeln unterstützen Wildcard-Domains.
Sie können URL-Anfragen an bestimmte Webserver weiterleiten, Sitzungen an einen Webserver binden oder alle Anfragen an einen primären Webserver senden und die anderen als Backup-Server verwenden. Mithilfe von Traffic-Shaping-Richtlinien, die den WAF-Regeln hinzugefügt werden, können Sie Bandbreite zuweisen und den Datenverkehr anhand eines Zeitplans priorisieren.
Schutz und Authentifizierung
Schutzrichtlinien: Sie können den WAF-Regeln Richtlinien zur Eindringungsprävention und zum Schutz hinzufügen. Schutzrichtlinien ermöglichen es Ihnen, Webserver vor der Ausnutzung von Sicherheitslücken wie Cookie-, URL- und Formularmanipulation zu schützen. Sie schützen Webserver außerdem vor Anwendungs- und Cross-Site-Scripting-Angriffen (XSS). Sie können die Filterstärke für gängige Bedrohungen festlegen.
Die in WAF-Regeln erstellten Ausnahmen ermöglichen es Ihnen, bestimmte Arten von Sicherheitsprüfungen für die von Ihnen angegebenen Pfade und Quellen zu überspringen.
Um langsame HTTP-Denial-of-Service-Angriffe (DoS) zu verhindern und die TLS-Versionskontrolle durchzusetzen, gehen Sie zu Webserver > Allgemeine Einstellungen.
Authentifizierungsrichtlinien: In WAF-Regeln können Sie die Clientnetzwerke festlegen, die zugelassen oder blockiert werden sollen. Sie können WAF-Regeln auch Authentifizierungsrichtlinien hinzufügen, um Webserver mithilfe von einfacher oder formularbasierter Reverse-Proxy-Authentifizierung zu schützen. Die Clientauthentifizierungseinstellungen in diesen Richtlinien ermöglichen Ihnen die Steuerung des Zugriffs auf die in der WAF-Regel angegebenen Pfade.
Authentifizierungsvorlagen: Sie können vorkonfigurierte HTML-Formularvorlagen hochladen. Anpassbare HTML- und CSS-Vorlagen finden Sie auf der Hilfeseite für Authentifizierungsvorlagen.
Reservierte Häfen
Einige Ports können für die WAF nicht verwendet werden, da die Firewall sie für Systemdienste reserviert. Diese Ports bleiben auch dann reserviert, wenn die Dienste nicht genutzt werden. Siehe Reservierte Häfen.