Fügen Sie eine Web Application Firewall (WAF)-Regel hinzu

Mit WAF-Regeln können Sie Webanwendungen vor Angriffen und Datenlecks schützen, indem Sie den HTTP-Verkehr filtern.

Sie konfigurieren eine WAF-Regel für eine IP-Adresse, die einer Netzwerkschnittstelle, einem Port und einem oder mehreren Domänennamen zugewiesen ist. Die Firewall gleicht den Datenverkehr anhand der der Schnittstelle zugewiesenen IP-Adresse ab.

Bei HTTPS-Datenverkehr wird Server Name Indication (SNI) verwendet, um den Server zu ermitteln, der dem Hostnamen in der Clientanfrage entspricht.

1. Gehe zu Regeln und Richtlinien > Firewall, wählen IPv4, klicken Firewall-Regel hinzufügen: dann auswählen Neue Firewall-Regel.
2. Regeln sind standardmäßig aktiviert. Sie können eine Regel deaktivieren, wenn Sie deren Übereinstimmungskriterien nicht anwenden möchten.

3. Geben Sie die allgemeinen Details ein.

   Einstellung	Beschreibung
   Regelname	Geben Sie einen Namen ein.
   Regelposition	Geben Sie die Position der Regel an. Verfügbare Optionen: Spitze Unten
   Regelgruppe	Geben Sie die Regelgruppe an, der Sie die Firewall-Regel hinzufügen möchten. Sie können auch eine neue Regelgruppe erstellen, indem Sie Neu erstellen aus der Liste. Wenn Sie auswählen Automatisch: Die Firewall-Regel wird einer bestehenden Gruppe hinzugefügt, sobald die Regel mit dem Regeltyp und den Quell-Ziel-Zonen übereinstimmt.
   Aktion	Wählen Schützen Sie sich mit Webserver-Schutz.
   Vorkonfigurierte Vorlage	Wählen Sie eine Vorlage aus, die Sie anwenden möchten: Keiner: Geben Sie die Details zum Schutz des Webservers an. Exchange Autodiscover Exchange Outlook Anywhere Börsen allgemein Microsoft Lync Microsoft RDG Microsoft RD Web

4. Geben Sie die Gehosteter Server Details.

   Einstellung	Beschreibung
   Gehostete Adresse	Wählen Sie die öffentliche IP-Adresse aus, die einer Schnittstelle zugewiesen ist, über die Benutzer auf den internen Server oder Host zugreifen. Die WAF-Regel ist an die dieser Schnittstelle zugewiesene IP-Adresse gebunden. Sie können die der Schnittstelle zugewiesene öffentliche IP-Adresse verwenden oder einen Alias verwenden, um die benötigte öffentliche IP-Adresse zu binden. Wenn ein Client eine Verbindung herstellt und auf den Webserver zugreift, ruft der Webserver die in der WAF-Regel konfigurierte Schnittstellenadresse ab. Der HTTP-Header X-Forwarded-For enthält die IP-Adresse des Clients.
   Abhörport	Geben Sie die Portnummer ein, über die der gehostete Webserver erreichbar sein soll. Standardmäßig werden Port 80 für HTTP und Port 443 für HTTPS verwendet. Stellen Sie sicher, dass sich die WAF in mindestens einem der folgenden Attribute vom VPN-Portal und dem SSL-VPN unterscheidet: WAN-IP-Adresse, Port, Protokoll. Siehe Gemeinsame Nutzung der Häfen durch die verschiedenen DiensteDie Einige Ports sind nicht nutzbar, da sie von der Firewall für Systemdienste reserviert sind. Weitere Informationen finden Sie unter [Link einfügen]. Reservierte Häfen.
   HTTPS	Wenn Sie diese Option aktivieren, ist der gehostete Server über HTTPS und nicht über HTTP erreichbar.
   HTTPS-Zertifikat	Wenn Sie HTTPS ausgewählt haben, wählen Sie das Zertifikat aus. Der Zertifikatsname darf nur alphanumerische Zeichen aus dem US-amerikanischen ASCII-Zeichensatz enthalten. Die Domains des ausgewählten Zertifikats werden automatisch angezeigt unter Domänen und die vorhandenen überschreiben. Die Firewall unterstützt SNI (Server Name Indication), wodurch Sie mehrere virtuelle Webserver erstellen können, die über dieselbe IP-Adresse und denselben Port erreichbar sind. Jedem Server kann ein separates Zertifikat zugewiesen werden. Die Server werden den Clients anhand des angeforderten Hostnamens präsentiert. Um ein Zertifikat zu erstellen oder hochzuladen, gehen Sie zu Zertifikate > Zertifikate.
   HTTP-Umleitung	Wählen Sie diese Option, um den Datenverkehr von Port 80 auf Port 443 umzuleiten.
   Domänen	Geben Sie den für den Webserver konfigurierten FQDN ein, zum Beispiel: shop.example.comDie Verwenden Sie keine Unterstriche (_) auf der Domainbezeichnung ganz links. Domainnamen müssen RFC-konforme DNS-Namen sein. Weitere Informationen finden Sie unter 2.3.1. Bevorzugte NamenssyntaxDie Wenn Sie HTTPS aktiviert haben, werden die Domainnamen des ausgewählten HTTPS-Zertifikats in der Liste angezeigt. Sie können diese bearbeiten, löschen oder neue Domainnamen hinzufügen. Sie können den Platzhalter verwenden *. Nur am Anfang eines Domainnamens. Beispiel: *.company.com Eine einzelne WAF-Richtlinie unterstützt mehrere Wildcard-Domänen. Virtuelle Webserver mit Wildcard-Domänen werden nur dann zugeordnet, wenn keine virtuellen Webserver mit spezifischen Domänen konfiguriert sind. Beispiel: Eine Clientanfrage an die Domäne, test.company.comwird übereinstimmen mit test.company.com zuerst, dann mit *.company.comund schließlich mit *.comDie Wenn Sie eine Subdomain hinzufügen zu Domänen Wenn Sie dann versuchen, auf eine andere Subdomain derselben Domain zuzugreifen, generiert die Firewall keine Blockseite. Stattdessen erhalten Sie einen gültigen HTTP-Antwortcode. Dies können Sie in den Reverse-Proxy-Logs überprüfen. Beispiel: Wenn Sie hinzufügen abc.test.comund versuchen Sie dann, darauf zuzugreifen. xyz.test.comSie erhalten den HTTP-Fehlercode 403.

5. Geben Sie die Details des/der Geschützte Server: Sie können die Webserver, die Authentifizierungsmethode sowie zulässige und gesperrte Clientnetzwerke festlegen. Bei Auswahl von pfadspezifischem Routing können Sie zusätzlich zu diesen Einstellungen Sitzungen an Server binden, primäre und Backup-Server angeben und das WebSocket-Protokoll verwenden.

   Notiz

   Wenn Sie mehrere Webserver auswählen, werden die Anfragen gleichmäßig auf die Webserver verteilt.

   Wenn Sie kein pfadspezifisches Routing konfigurieren möchten, geben Sie Folgendes an: Webserver Und Zugriffsberechtigungen.

   Einstellung	Beschreibung
   Webserver	Wählen Sie die Webserver aus der Liste aus. Liste der Webserver: Alternativ können Sie neue erstellen. Die ausgewählten Webserver werden unter folgendem Link angezeigt: Ausgewählte Webserver.
   Zulässige Clientnetzwerke	Geben Sie die IP-Adressen und Netzwerke an, die eine Verbindung zum gehosteten Webserver herstellen können. Der Standardwert ist Beliebige IPv4-Adresse: Behalten Sie den Standardwert bei, wenn Sie keine IP-Adressen oder Netzwerke angeben möchten. Wenn Sie diese Einstellung leer lassen, funktioniert Ihre WAF-Regel nicht, und der Browser zeigt die Fehlermeldung „400 Bad Request“ an.
   Blockierte Client-Netzwerke	Geben Sie die IP-Adressen und Netzwerke an, die vom Zugriff auf den gehosteten Webserver ausgeschlossen werden sollen.
   Authentifizierung	Legen Sie ein Authentifizierungsprofil für Webanwendungen fest.
   Blockierte Länder	Geben Sie die Länder oder Ländergruppen an, die Sie daran hindern möchten, eine Verbindung zum gehosteten Webserver herzustellen.
   IP-Adressen unbekannter Herkunftsländer blockieren	Aktivieren Sie diese Option, um IP-Adressen unbekannten Ursprungs zu blockieren. Seien Sie vorsichtig beim Aktivieren dieser Funktion, da Sie möglicherweise von dieser Ressource blockiert werden, wenn Sie sich von einer IP-Adresse unbekannter Herkunft verbinden. Sie können überprüfen, ob Ihre IP-Adresse eine Herkunft hat oder nicht. Siehe GeoIP2-Datenbanken-Demo.

6. Wählen Pfadspezifisches Routing um bestimmte Pfadanfragen an die ausgewählten Webserver weiterzuleiten. Wenn Sie beispielsweise die Domäne angeben www.test.com, der Weg /webund der Webserver Web server 1, eine Anfrage für www.test.com/web wird weitergeleitet an Web server 1.

   Notiz

   Die Firewall wertet Anfragen nicht anhand der Reihenfolge der Pfadliste aus. Sie wendet die Pfade an, beginnend mit dem längsten und endend mit der Standardroute. Der Standardpfad wird nur dann verwendet, wenn kein spezifischerer Pfad zur Anfrage passt.

   Beispiele für Fälle, in denen Sie pfadspezifisches Routing festlegen können, sind folgende:

   • Senden Sie Anfragen mit einem bestimmten Pfad (Beispiel: /products/) zu einem bestimmten Webserver.
   • Binden Sie jede Sitzung mithilfe eines Sticky-Session-Cookies an einen Webserver. Beispiel: Wenn Sie eine E-Commerce-Website betreiben und ein einzelner Server die Benutzer während einer Einkaufssitzung bedienen soll.
   • Alle Anfragen werden an den angegebenen Webserver gesendet, während die anderen als Backup-Server im Hot-Standby-Modus verbleiben.

   Einstellung	Beschreibung
   Standardpfad (Pfad /)	Klicken Sie auf die Schaltfläche „Bearbeiten“ und wählen Sie einen Webserver für den Standardpfad aus. Anfragen, die keinem der aufgeführten Pfade entsprechen, werden an die Standardroute gesendet. Wenn Sie die Standardroute löschen, blockiert die Firewall Anfragen, die keinem der aufgeführten Pfade entsprechen. 404 Not found Antwort.
   Neuen Pfad hinzufügen	Wählen Sie diese Option, um einen neuen Pfad hinzuzufügen. Sie können einen Pfad hinzufügen, wenn Sie einen Webserver hinzugefügt haben.
   Weg	Geben Sie den Website-Pfad ein. Beispiel: /products/
   Webserver	Wählen Sie die Webserver aus der Liste aus. Liste der Webserver: Alternativ können Sie neue erstellen. Die ausgewählten Webserver werden unter folgendem Link angezeigt: Ausgewählte Webserver.
   Authentifizierung	Legen Sie ein Authentifizierungsprofil für Webanwendungen fest.
   Zulässige Clientnetzwerke	Geben Sie die IP-Adressen und Netzwerke an, die sich mit dem gehosteten Webserver verbinden dürfen. Die Firewall implementiert den Schutz nur für IP-Hosttypen. IP Und Netzwerk. Geben Sie keinen an IP-Bereich oder IP-Liste.
   Blockierte Client-Netzwerke	Geben Sie die IP-Adressen und Netzwerke an, die vom Zugriff auf den gehosteten Webserver ausgeschlossen werden sollen. Die Firewall implementiert den Schutz nur für IP-Hosttypen. IP Und Netzwerk. Geben Sie keinen an IP-Bereich oder IP-Liste.
   Blockierte Länder	Geben Sie die Länder oder Ländergruppen an, die Sie daran hindern möchten, eine Verbindung zum gehosteten Webserver herzustellen.
   IP-Adressen unbekannter Herkunftsländer blockieren	Aktivieren Sie diese Option, um IP-Adressen unbekannten Ursprungs zu blockieren. Seien Sie vorsichtig beim Aktivieren dieser Funktion, da Sie möglicherweise von dieser Ressource blockiert werden, wenn Sie sich von einer IP-Adresse unbekannter Herkunft verbinden. Sie können überprüfen, ob Ihre IP-Adresse eine Herkunft hat oder nicht. Siehe GeoIP2-Datenbanken-Demo.
   Sticky Session Cookie	Aktivieren Sie diese Funktion, um eine Sitzung an einen Webserver zu binden. Die Firewall leitet ein Cookie an den Browser des Benutzers weiter, wodurch dieser Anfragen an denselben Webserver weiterleiten kann. Wenn der Server nicht verfügbar ist, wird der Cookie aktualisiert und die Sitzung auf einen anderen Webserver umgeschaltet.
   Hot-Standby-Modus	Aktivieren Sie diese Option, um alle Anfragen an den ersten ausgewählten Webserver zu senden. Die anderen Webserver dienen als Backup-Server und kommen zum Einsatz, falls der erste Server ausfällt. Sobald der Hauptserver wieder funktioniert, werden die Sitzungen wieder auf diesen umgeschaltet. Wenn Sie auswählen Sticky Session Cookie: Die Sitzung wird mit dem Backup-Webserver fortgesetzt.
   WebSocket-Durchleitung	Aktivieren Sie diese Option, damit Anwendungen, die auf dem angegebenen Website-Pfad gehostet werden, das WebSocket-Protokoll verwenden können. Da die RFC-Standards das Datenformat des Protokolls nicht spezifizieren, können keine Prüfungen implementiert werden und der WebSocket-Datenverkehr wird ungeschützt zugelassen.

7. Wählen Neue Ausnahme hinzufügen um die zu überspringenden Sicherheitsprüfungen anzugeben.

   Wählen Sie die Pfade, Quellen, Kategorien und Sicherheitsprüfungen aus, die übersprungen werden sollen. Weitere Informationen zu Kategorien finden Sie unter Filter für häufige Bedrohungen Einstellungen in Fügen Sie eine Schutzrichtlinie hinzu..

   Sie können in einer WAF-Regel mehrere Ausnahmen angeben.

   Einstellung	Beschreibung
   Wege	Geben Sie die Pfade an, für die Sie eine Ausnahme erstellen möchten. Der Pfad unterscheidet zwischen Groß- und Kleinschreibung. Sie können Platzhalter in den Pfaden verwenden. Beispiel: /products/\*/images/\*
   Betrieb	Wählen Sie die boolesche Operation für Pfade und Quellnetzwerke aus.
   Quellen	Geben Sie die IP-Adressen, den Bereich, die Liste oder die Netzwerke an, aus denen der Datenverkehr stammt.
   Cookie-Anmeldung	Die Überprüfung auf Cookie-Manipulation wird umgangen. Die Cookie-Signatur verhindert Versuche, private Sitzungsdaten zu erlangen und betrügerische Aktivitäten durch Manipulation von Cookies durchzuführen. Wenn der Webserver ein Cookie setzt, wird dem ersten Cookie ein zweites Cookie hinzugefügt. Dieses zweite Cookie enthält einen Hash, der aus dem Namen und Wert des ersten Cookies sowie einem nur der Firewall bekannten Geheimnis gebildet wird. Kann eine Anfrage das korrekte Cookie-Paar nicht bereitstellen, wird das Cookie verworfen.
   Härtung statischer URLs	Ermöglicht das Umschreiben von Links für die angegebenen Pfade und Quellnetzwerke. Die statische URL-Härtung verhindert, dass Benutzer manuell Deep Links erstellen, die zu unberechtigtem Zugriff führen. Wenn ein Client eine Website anfordert, werden alle statischen URLs der Website mit einem Verfahren ähnlich der Cookie-Signierung signiert. Zusätzlich wird die Antwort des Webservers analysiert, um festzustellen, welche Links als Nächstes gültig angefordert werden können. Wenn Sie die statische URL-Härtung aktivieren, wird bei den Einträgen für URL-Pfade zwischen Groß- und Kleinschreibung unterschieden. Wenn Sie beispielsweise den Pfad hinzufügen /rule.html und Benutzer geben ein /Rule.htmlDie Firewall meldet, dass die Signatur nicht gefunden werden konnte.
   Formhärtung	Die Prüfung auf Manipulation von Webformularen wird übersprungen. Um Manipulationen an Formularen zu verhindern, speichert die Firewall die ursprüngliche Struktur eines Webformulars und signiert sie. Wenn sich die Struktur zum Zeitpunkt des Absendens des Formulars geändert hat, lehnt die Firewall die Anfrage ab.
   Antivirus	Überspringt die Virenprüfung für Anfragen aus den angegebenen Quellnetzwerken und an die von Ihnen angegebenen Pfade.
   Kunden mit schlechtem Ruf blockieren	Überspringt Prüfungen für Kunden mit schlechtem Ruf gemäß Echtzeit-Blackhole-Listen (RBLs) und GeoIP-Informationen.
   Ändern Sie niemals den HTML-Code während der statischen URL-Härtung oder Formularhärtung.	Wenn Sie diese Ausnahme auswählen, führt die Firewall während der Härtung statischer URLs oder Formulare keine HTML-Umschreibung durch. Beispielsweise werden die Links innerhalb einer HTML-Seite nicht aktualisiert, und der vom Webserver zurückgegebene vollständige Link bleibt erhalten. Unter Umständen müssen Sie die Härtung statischer URLs oder Formulare deaktivieren, um den Zugriff auf diese Links zu ermöglichen. Wenn eine Webanwendung also Elemente der HTML-Seite benötigt, um zu funktionieren, werden diese nicht durch die HTML-Umschreibung entfernt.
   Ungehärtete Formulardaten akzeptieren	Selbst wenn Sie die Option auswählen Formhärtung Ausnahme: Die Firewall akzeptiert keine Formulardaten, wenn die Formularhärtungssignatur fehlt. Mit dieser Option akzeptiert die Firewall auch ungehärtete Formulardaten.

8. Legen Sie die erweiterten Schutzrichtlinien fest.

   Einstellung	Beschreibung
   Schutz	Legen Sie eine Schutzrichtlinie für die Server fest.
   Einbruchsprävention	Legen Sie eine Richtlinie zur Verhinderung von Eindringversuchen fest. Für die Nutzung der Intrusion Prevention mit WAF muss das Kommunikationsprotokoll zwischen Firewall und Webserver HTTP sein.
   Verkehrsgestaltung	Legen Sie eine Traffic-Shaping-Richtlinie zur Bandbreitenzuweisung fest.

9. Geben Sie die Fortschrittlich Einstellungen.

   Einstellung	Beschreibung
   Komprimierungsunterstützung deaktivieren	Wenn Clients komprimierte Daten anfordern, sendet die Firewall die Daten in komprimierter Form. Wählen Sie diese Einstellung, um die Komprimierung zu deaktivieren, falls Webseiten fehlerhaft angezeigt werden oder Benutzer Probleme mit der Inhaltskodierung feststellen. Die Firewall fordert dann unkomprimierte Daten von den Webservern an und sendet diese unabhängig vom Kodierungsparameter der Anfrage an den Client.
   HTML umschreiben	Wählen Sie diese Option, um die Links der zurückgegebenen Webseiten umzuschreiben und so die Gültigkeit der Links zu erhalten. Beispiel: Wenn der Hostname eines Webservers lautet yourcompany.localDer Hostname des gehosteten Webservers lautet jedoch yourcompany.comabsolute Links wie [a href="http://yourcompany.local/"] sind defekt, wenn der Link nicht umgeschrieben wird [a href="http://yourcompany.com/"] vor der Auslieferung an den Kunden. Sie müssen diese Option nicht auswählen, wenn yourcompany.com ist auf Ihrem Webserver konfiguriert oder ob interne Links auf Ihren Webseiten immer als relative Links realisiert werden. Wir empfehlen Ihnen die Option mit Microsoft Outlook Webzugriff oder SharePoint-Portalserver zu verwenden. HTML-Rewriting betrifft alle Dateien mit dem HTTP-Inhaltstyp text/* oder *xml*. * ist ein Platzhalter. Um Datenbeschädigungen während des HTML-Rewritings zu vermeiden, stellen Sie sicher, dass andere Dateitypen (z. B. Binärdateien) den korrekten HTTP-Inhaltstyp aufweisen.
   Cookies umschreiben	Wählen Sie diese Option, um die Cookies der zurückgegebenen Webseiten neu zu schreiben.
   Host-Header übergeben	Wählen Sie diese Option, um den vom Client angeforderten Host-Header an den Webserver weiterzuleiten. Sie können dies verwenden, um den angeforderten Hostnamen dem Webserver zuzuordnen, wenn Sie mehr als eine Website auf einem Server hosten.

10. Klicken Speichern: Beim Speichern einer WAF-Regel werden alle Webserver-Schutzregeln der Firewall neu gestartet. Aktive Verbindungen, die diese Regeln verwenden, gehen dabei verloren und müssen neu hergestellt werden.

Sie können die von Ihnen erstellte WAF-Regel in der Firewall-Regeln Tisch.

Weitere Ressourcen

• Fügen Sie eine Authentifizierungsrichtlinie hinzu.
• Fügen Sie einen Webserver hinzu.
• Schützen Sie einen Webserver vor Angriffen