Лицензировать WAF.
Создать профиль. Профили отвечают за создание и редактирование наборов слоев с UPL-правилами. В профиле могут использоваться как персональные слои с пользовательскими правилами, так и системные слои, содержащие системные правила.
В созданном профиле включить слои с необходимыми UPL-правилами.
Подключить профиль в правило reverse-прокси.

Системные правила

Системные правила — это правила, загружаемые с серверов UserGate автоматически после активации лицензии. Системные правила отображаются в разделе веб-интерфейса WAF ➜ Правила:

У системных правил могут быть изменены следующие параметры:

состояние (включено/отключено);
журналирование (включено/отключено);
действие (No action/Pass/Deny/Force pass/Force deny).

Для редактирования параметров необходимо выбрать нужное правило, нажать Редактировать в панели инструментов и в появившемся окне отредактировать соответствующие параметры:

Для быстрого поиска предусмотрен фильтр и сортировка по полям в таблице правил.

В структуре системных правил используются следующие поля:

Название поля	Имя поля	Описание
Уровень угрозы	threat_level	Отображает уровень защиты данного правила 1 (low): низкий; 2 (medium): средний; 3 (high): высокий;
ID правила	id	Отображает идентификатор правила.
Название	name	Название правила.
Ссылка	refs	Отображает ссылки на внешние ресурсы с описаниями уязвимостей.
Время последнего обновления	date	Отображает время последнего обновления правила на серверах UserGate.
Системный слой	layer	Отображает системный слой, к которому относится правило. Системные правила сгруппированы по типам известных уязвимостей: Abuse of Functionality; Authentication/Authorization Attacks; Buffer Overflow; Command Execution; Denial of Service; Detection Evasion; Directory Indexing; HTTP Parser Attack; HTTP Response Splitting; Information Leakage; LDAP Injection attempt; SQL-injection; Malicious File Upload; Microsoft OWA; Other Application Attacks; Path Traversal; Predictable Resource Location; Remote File Include; Server Side Code Injection; Session Hijacking; Trojan/Backdoor/Spyware; Vulnerability Scan; XPath Injection; Cross site scripting (XSS); XML External Entity (XXE).
Пакет	package name	Название пакета экспертизы, в который входит данное правило.
Действие	action	Действие правила: No action; Pass; Deny; Force deny; Force pass. У любого правила в слое может быть префикс PASS, FORCE_PASS, DENY, FORCE_DENY. Когда срабатывает правило с таким префиксом, все остальные правила в слое пропускаются. Срабатывание правила с префиксом FORCE_PASS или FORCE_DENY является окончательным результатом обработки, в противном случае обработка переходит на следующий слой. После обработки всех слоев запрос будет заблокирован или пропущен в зависимости от того, что было последним — DENY/FORCE_DENY или PASS/FORCE_PASS. Действие No action означает, что когда срабатывает правило с таким префиксом, то ничего не предпринимается (за исключением журналирования, если эта опция установлена).

Слои

Слой — это конструкция, используемая для группировки правил и принятия одного решения. Существуют системные и персональные слои.

Системные слои создаются компанией UserGate, они содержат правила, сгруппированные по типам атак.

Принадлежность правил системным слоям можно посмотреть в разделе WAF ➜ Правила:

Также состав системного слоя можно посмотреть в свойствах системного слоя. Свойства системного слоя вызываются из профиля WAF. Предусмотрена возможность фильтрации правил в системном слое (Подробнее читайте ниже).

Нажав на строчку Настройка правил в разделе Правила можно посмотреть состав системного слоя:

Персональные слои — это наборы UPL-правил, созданные администратором. Раздел WAF ➜ Персональные слои в веб-консоли позволяет управлять персональными слоями: создавать, удалять, обновлять и просматривать.

Так как количество слоев может быть большим, в верхней части раздела Персональные слои есть фильтр для поиска слоев по имени:

Для создания персонального слоя необходимо нажать Добавить, в свойствах персонального слоя указать следующие параметры:

Название — название персонального слоя;
Описание — опциональное описание персонального слоя;
Редактирование выражения — поле для записи/редактирования UPL-выражения, содержащего правила фильтрации трафика;
Проверить выражение — проверка UPL-выражения.

В случае неверного синтаксиса в выражении после проверки будут отображены подсказки и номер строки, где была допущена ошибка:

Подробнее о синтаксисе написания UPL-правил — в разделе UserGate Policy Language.

Профили

Профиль — это набор персональных и/или системных слоев. В разделе веб-интерфейса WAF ➜ Профили можно управлять профилями: создавать, удалять, обновлять и просматривать.

В верхней части страницы Профили есть фильтр для поиска профилей по имени:

Для создания профиля необходимо нажать Добавить, в свойствах указать следующие параметры:

Название — название профиля;
Описание — опциональное описание профиля;
WAF слои — наборы UPL-правил (персональные слои, системные слои), для включения слоя в редактируемый профиль его нужно включить в колонке Действие;

В строке Активных правил отображает количество активированных правил в профиле.

После сохранения профиля включенные слои автоматически поднимаются наверх в своих группах. Порядок в таком случается определяется так: первый в списке включенный слой поднимается на первое место, затем ищется следующий включенный слой, который поднимается на второе место, и так далее.

Слои можно перемещать только в рамках своих групп, первым идут персональные слои, затем системные.

Включенные слои автоматически поднялись на самый верх списка в своих группах. Можно поменять включенные слои местами (например, передвинуть слой «Layer 3» на самых верх) и после повторного открытия профиля, порядок изменится:

Непосредственно из окна профиля можно создать новый персональный слой. При нажатии кнопки Добавить персональный слой откроется диалоговое окно создания персонального слоя:

Предусмотрена возможность фильтровать системные правила в выбранном системном слое, который будет подключен в редактируемый профиль. Для редактирования нужно нажать на системный слой в окне профиля, появится диалоговое окно:

В открывшемся окне предоставлены:

Флажок для включения/отключения данного системного слоя;
Технология защиты — фильтр технологий для правил из выбранного системного слоя; в профиль будут подключены правила только с выбранными технологиями;
Уровень защиты — фильтр правил по уровню защиты; в профиль будут подключены правила только с выбранными уровнями защиты.

Администратор может сбросить в первоначальное состояние выставленные технологии и уровни защиты всего системного слоя, нажав Восстановить значения по умолчанию.

Управление WAF-правилами доступно в разделе окна Правила по ссылке Настройка правил. Открывается таблица, отображающая все отфильтрованные правила, которые будут подключены к редактируемому профилю:

В таблице могут быть изменены следующие параметры отдельных правил, входящих в слой: состояние правила, журналирование и действию. Параметры правил могут быть сброшены в первоначальное состояние с помощью кнопки Восстановить значения по умолчанию в панели инструментов.

Для восстановления в исходное состояние всех системных слоев профиля одновременно, необходимо нажать Восстановить значения по умолчанию в окне профиля:

ПримечаниеПри обновлении экспертизы правила как в профилях, так и в общем списке переводятся в режим логирования (действие — No action, журналирование — включено).

Журналирование правил

Функция журналирования устанавливается на уровне правила.

1. Для системных правил опция журналирования по умолчанию включена. Перенастройка опции журналирования происходит в окне настройки правил слоя или в общем списке правил, как указано ранее.

2. Для персонального слоя журналирование включается для каждого правила отдельно. Для этого необходимо добавить в UPL-правило свойство "rule_log(true)". После этого требуется включить эти слои и сохранить профиль.