Webアプリケーションファイアウォールルール
ネットワーク層ファイアウォールには、ファイアウォールのパフォーマンスに影響を与える可能性のある、ルールシャドウイングなどのさまざまな種類の冗長性と整合性チェックがあります。同様の種類のチェックをWAFに適用できますか?いくつか質問がありますか?
- ルールの順序は重要ですか?
- 一貫性のないルールの処理方法。
- ルールセットから冗長性を削除する方法
- 静的アプリケーション層の署名のルールをバイパスできますか
私はセキュリティ会社( Incapsula )で働いており、当社の製品機能の1つはPCIDDS準拠のWAFです。 @symcbeanはすでに素晴らしい答えを出したと思うので、ここでディスカッションに少し情報を追加します。
ルールの順序は重要ですか?
@symcbeanはそれをすべて言いました。
一貫性のないルールの処理方法。
いくつかの(関連する)ルールが異なる結論に達するシナリオを参照している場合は、常に「最も厳しい判断」を行うことをお勧めします。
もちろん、これはあなた次第です。逆に、より寛大なアプローチを実装して、より多くの「誤検知」を防ぐこともできますが、ほとんどの場合、セキュリティははるかに大きな問題だと思います。また、適切なルールセットを使用すると、ほとんどの「誤検知」が排除され、不整合はほとんど発生しません。 SAASの場合、デフォルトのシステムルールを上書きするための多くのカスタマイズオプションが必要ですが、デフォルトのセットアップは最大のセキュリティに向けて調整する必要があります。
ルールセットから冗長性を削除する方法
前に述べたように、ルールセットに冗長性があってはなりません。
静的アプリケーション層の署名のルールをバイパスできますか
はい。たとえば、Incapsulaでは、一般的に使用されるアプリケーションとプラットフォームを識別し、それに応じて動作を変更するアプリケーション最適化ルールを使用します。 (つまり、WP、Joomla、人気のある拡張機能やプラグインなどの最適化)ここでは、考えられるすべてのシナリオの最適化を推奨しているわけではありません(単に効果がない)が、マスマーケティングについて考えている場合は、少なくともより一般的なプラットフォームをカバーする必要があります/アプリケーション。
幸運を祈ります
ルールの順序は重要ですか?
もちろん。それは主にパフォーマンスに関するものです。
ファイアウォールが受け入れ/拒否ポリシーのみを実装している場合でも(たとえば、リクエストを別の場所にルーティングすることを決定できる場合)、ファイアウォールをどのように処理するかを決定するのにかかる時間は、必要なルールの数によって異なります。決定に達するためのプロセスとそれらの質問を解決するために必要な努力。したがって、注文はパフォーマンスに大きな影響を与えます。
さらに、そのようなファイアウォールのほとんどはファジールールの恩恵を受けています-単一のルール(またはセッション内の単一のWebリクエスト)は、リクエストを処理する必要があるかどうかを判断するのに十分な情報を運ばない可能性があります-したがって、ファイアウォールはレイヤーよりもはるかに多くの状態を維持します5ステートフルファイアウォール。
一貫性のないルールの処理方法。
これが何を意味するのかわかりません。
ルールセットから冗長性を削除する方法
意図的に。
静的アプリケーション層の署名のルールをバイパスできますか
はい、これを許可するようにルールを構成する場合は可能です。