梭子鱼WAF策略解释

1、梭子鱼WAF策略解释梭子鱼WAF策略主要有以下9类： Http 请求限制(Request Limits) Cookie 防护(Cookie Security) URL 防护(URL Protection) 动作策略(Action Policy) 全局 ACL(Global ACLs) URL 标准化(URL Normalization) 网站隐身(Cloaking) 参数防护(Parameter Protection) 数据窃取防护(Data Theft Protection)下面分别对这9种策略内容展开进行说明：1. Http 请求限制(Request Limits)该策略用于定义进入的Ht

2、tp请求头字段内容，通过定义的值来验证进入的Http请求是否符合要求.Http请求信息报头中可能包含一些恶意的代码这个策略预防恶意的请求代码通过适当的配置限制数值，可以缓解或防止Dos攻击比定义数值大的请求将被丢弃当前设置的默认值担任防护大于任何潜在的缓存溢出攻击如果服务或者真实服务器的值大于当前梭子鱼WAF设备上所设定的值时此默认的Http请求值方可进行修改.注：如果想要去关闭某项策略使其对进入的Http请求不进行检查，可以将该项后面的值设置为空.开启请求限制(Enable Request Limits):此项策略去启用Http请求大小的限定.当状态为Off时，潜在的恶意缓存溢出攻击可能会偷

3、偷的通过.故该值设置为 On是我们推荐的.汗HtEPT：壬云亍*衣牧3同即茨崔，：蚤坦壬咬毎婕狡互孑述屮31匕纬51三，卫轉WPS 1!.I-T：咼请求最大长度(Max Request Length):该项策略定义最大可允许的请求长度.它包含Http请求行(请求行=请求方法空格请求URI 空格版本号回车换行)和Http请求头(User Age nt. Cookies, Referer等)，这个请求限制的长度不包含请求的实体内容(Request body).最具有代表性的如POST请求.任何请求，其长度超限将被阻断 .该值的设置范围为1-65536(Bytes)同样的该值为空表示没有限制.-WI

4、 口1耳* y備求矗犬长IS32禅屯恬湾聶审的卜規脊，怎不虫?S講决帥英汩.3CT6S32k)请求行最大长度(Max Request Line Length):该项策略定义最大可允许的请求行长度.请求行由请求方式、URL和Http版本例如：GET /index.cgi?page=home HTTP/1.1, 在这个请求行当中，GET为请求的方式，/index.cgi?page=home 为 URL , HTTP/1.1 为 HTTP 版本该值的设置范围为 1-65536(Bytes)同样的该值为空表示没有限制睛习(节H大怅處4Q矢谓歩行呈牌廉*的幫一厅爸厨脚Md、URL*HTTP翌*量我淸来吁

5、&曳邑谁勺爲灿F1L倒S适慎URL最大长度(Max URL Length):该项策略定义最大可允许的URL长度，检查 URL请求的字符串该值的设置范围为1-8192(Bytes),该值为空表示没有限制URL最先长IEB*UF：Hc.吨年 4056查询字符串最大长度(Max Query Length):该项策略定义最大可允许的URL请求字符串长度,其设置的范围为1-60000(Bytes),该值为空表示没有限制最多Cookie个数(Max Number of Cookies):该项策略定义最大可被允许的Cookie个数，其设置范围为1-1024(Bytes),该值为空表示没有限制 (Cookie

6、是用来保存状态信息的，是保存客户端状态的机制，其与Session大体功能一样，但也有一些区别但他们都是为了解决Http无状态的问题而做努力的 Cookies是服务器在本地机器上存储的小段文本并随每一个请 求发送至同一个服务器。Cookie最早在RFC2109中实现，后续RFC2965做了增强。网络服 务器用HTTP头向客户端发送cookies，在客户终端，浏览器解析这些cookies并将它们保存 为一个本地文件，它会自动将同一服务器的任何请求缚上这些cookies)Ugieifi晟犬长13*096m-bigtx亘57上-衣亡，西甘4396Ugieifi晟犬长13*096m-bigtx亘57上-

7、衣亡，西甘4396Cookie名最大长度(Max Cookie Name Length):该项策略定义最大可被允许的Cookie名称长度其值设置范围为1-1024(Bytes),该值为空表示没有限制Cost冃屯最尢长ISCookie值最大长度(Max Cookie V alue Length):该策略定义最大可允许的Cookie值长度.其设置范围为1-32678(Bytes),该值为空表示没有限制Ugieifi晟犬长13*096m-bigtx亘57上-衣亡，西甘4396最多报头个数(Max Number of Headers):该项策略定义请求中最大可被允许的Header值.如果请求中的报头大

8、于所设定的这个值，则该Http请求将被阻断其值设置范围为1-40(Bytes),Jll该值为空表示没有限制报头名最大长度其值设置范围为(Max Header Name Length):该项策略疋义请求中报头名称允许的最大长度.1-1024(Bytes),为空表示没有限制.抿头世fl犬钱度32K虫課斗电乎？吠主等：32电必丁一y嚥展芽乞色崔客恵头几赴年霍!i飞处:宜实.港# 26报头值最大长度(Max Header Value Length):该项策略定义请求中最大允许的请求头的长度， 请求头可以是任意一个HTTP协议头(例如：Host、User-Age nt等或者是定制的报头如IISTran

9、slate头).注意：该项设置不适应于 Cookies .其设置范围为1-8192(Bytes),该值为空表 示没有限制.抿头追星大浪度512足乳可我！最咒姪宝.童力codde爭曲-*5： 5122. Cookie 防护(Cookie Security)Cookie是用来保存状态信息的，使用Cookie在客户端存储服务状态信息(如浏览器和其 它客户端代理)，Cookie存储用户信息、购物事项和一些非常敏感的信息 (例如注册和登陆 信息) 如果机构的Cookie被暴露，这时用户的内容将很容易被攻击.Cookie防护将可以保护Cookie信息的安全.Cookie是一个简单的TXT文件，它能很容易的

10、被改变， 使用它去进行 Web攻击.Cookie 当中敏感的信息也很容易被窃取，例如客户端信息可以从信息中获取，所以使用Cookie防护策略来对Cookie进行保护.这个策略可以减少使用 HTTP Cookie进行跨站脚本攻击(Cross Site Scripting Attacks)行 为的发生.它保证机密的Cookie信息且避免Cookie值被篡改.这个策略不能阻止 Cookie 重放攻击.Cookie保护模式(Tamper Proof Mode):该策略定义哪些 Cookie将被加密或签名，当服务器 插入了一个Cookie梭子鱼WAF截获其响应，对插入的Cookie进行加密然后发送经过加

11、密后的Cookie给浏览器.此时济览器存储的是经过加密的Cookie因此用户的真实 Cookie信息被隐藏.每当Http请求携带加密的 Cookie梭子鱼 WAF将截获该请求，对Cookie进行解 密然后发送给服务器。如果Cookie是被篡改过的，梭子鱼WAF对Cookie解密将失败，Cookie保护模式使用额外的算法对Cookie进行加密和解密。Cookie过期时间(Cookie Max Age):该项策略用来定义 Cookie过期的时间，Session Cookie 指那些没有定义任何过期时间的服务器，正常的，当浏览器关闭浏览器会忘记Cookie.但是服务器还是会永远的存放Cookie.这

12、个策略将强制地定义 Session Cookie在所设置的时间以后过期.注：cookie过期的时间也可以在服务器上面进行设置，梭子鱼WAF该项策略的设置也基于服务器，该项策略值设置范围为0-500000(分钟)144Q暹幽枣曲诞左脾严層邨1第耳知 谡竜一呛土瞩时叭 啸于哉育综鹫士 iIj.樟耳：M和卄门电Cookie重放保护(Cookie Replay Protection Type): 此项策略定义防护类型来防止Cookie重放攻击梭子鱼WAF启用该项策略去对 header值进行编码或者通过对发送到客户端的IP地址进行编码来验证进入的 Cookie ，如果IP地址或header值不匹配那么梭

13、子鱼 WAF将阻断 它.自定义苦部WccKikje只是極JfHTTPHTTPH金權倉 TTT艮兰僅弓和*tQCMe=?5*：-5KUnf 1-1!*.窘Z总捋世HTTPSSHrrpf7-iswneP自定义首部(Custom Headers)该项策略用于定义想要过滤的Cookie报头，设置该项策略的前提是 Cookie重放保护设置为 IP或自定议报头项.例如：User-Age nt , X-Forwarded-For目定丸首訓imA安全cookie ( Secure Cookie):仅仅定义 Https的安全特征.在使用HTTPs时告之浏览器返回Cookie ,如果使用的是 HTTp则不返回.安

14、全COOkiHTTPSiJ-E-i，養知工见吐HTTPSP*.cookie.左HTTPt 厂逞国tocfciE只是接受HTTP( HTTP Only):该项策略定义对HTTp连接是否对其 Cookie进行安全防护.2.是樱覺IHTTP是否您x畑丰犷聲協。毎止ksMO*.口鹫JflNA&tnpliSim.椎澤：冒允许无法识别的 cookie(Allow Un recog nized Cookies):该项策略设置定义梭子鱼 WAF对无法 识别Cookie的处理动作.如果选择总是允许梭子鱼 WAF将总是允许无法识别的 Cookie. 如果选择总是拒绝那么梭子鱼 WAF将丢弃该Cookie并且记录在

15、 Web-firewall日志当中.当选择为客户自定义时，需要手动定义应用该策略的天数，你可以定义无法识别的 Cookie在设置该项天数值之后开始允许.2是柜绳 9是ftiX a自定買当君啟gheE档 隹于直才葩邑打JH秤旦质箏；応的ccwMa-叵兰忑足工X 对送出曾樣作扫童理 営空碎亍天首汗为光许.Cookie白名单也叫 Cookie免除(Cookies Exempted):该项设置用于定义需要被免除的Cookie，来跳过梭子鱼 WAF的检查.3. URL 防护(URL Protection)该项策略用于保护服务在URL Profile缺失情况下避免其遭受Web攻击。当Profile文件没有

16、被使用，这个设置代替URL Profile设置来保护 Web服务器.开启URL防护(Enable URL Protection):该项设置定义是否启用URL防护功能.* JS用 坯用允许的请求方式(Allowed Methods): 该项策略用来定义哪些请求方式梭子鱼WAF可以允许.这个设置可以让梭子鱼 WAF去允许或者不允许某种请求方式。例如：您没有配置PUT 在这个请求列表中，那么梭子鱼 WAF将阻止试图上传文件的请求方式 .同样的，例如阻止CONNECT 方式，那么梭子鱼 WAF将阻断任何试图通过与服务器建立tunnel的方式该问服务器.AJkjwfid MethodsAddGET仃PO

17、ST仃A iw off bIo*isW&sn W raquBK The nwt coww mathods ere getPOST end HCaC Special appiic-Blions requme attw metlrads tDbe aJkwrd允许内容类型(Allowed Content Types):定义在URL在POST body时允许的内容类型容类型这些内容类型是梭子鱼 WAF公认的.托说内罟粪!内容最大长度JjaA 1applicaijQn/x-AWrti-fQrm-urtBnGadedumijMpanrni-datantextfttmln?cljP05T屮吝m“appik

18、比nn/x-p*i耐-幻urierKoded两Vrwlliparirfwmdair呂吾玄臭:时肛喜见王再曲丸(Max Content Length):定义允许最大的内容长度，它指的是请求的 Body的长度.其值设置的范围是內昔最尢长厦表单参数最大个数漳题肉武*犬醫鷲POST清我考一他言寂屢1址如说竹吾利网y 林. 32T&S0-65536( Bytes)留空表示不检查.(Max Parameters)定义请求当中允许的最大表单参数.参数是请求字符串中的一部份或者或者是部分请求Body。例如：如果最大的表单参数为4，则请求字符串中有4个表单参数能被允许.该项值设置的范围是 0-1024，留空表示不检查POSTT=- =t/. ，- = ：最大上传文件数(Max Upload Files):该项设置定义一个请求中允许的最大文件上传数.如果这个值设置为1,这时第二个文件上传将被阻断。该值设置范围为0-1024。星大上橫交件埶5I* 5 |参数名最大长度(Max Parameter Name Length):定义请求中任