Параметры и уровень защиты веб-трафика в UserGate WAF определяются политикой безопасности. Настроенная политика безопасности позволяет UserGate WAF обнаруживать и блокировать различные угрозы, включая наиболее опасные атаки из списка OWASP Top 10.

Основными элементами политики безопасности являются:

WAF-правило — представляет собой выражение, содержащее условия обнаружения угроз безопасности. WAF-правило обеспечивает защиту веб-трафика от различных атак и может сработать как на запрос к веб-ресурсу, так и на его ответ. При срабатывании WAF-правила выполняется назначенное действие. WAF-правила бывают системными и пользовательскими.
Слой — конструкция, предназначенная для группировки WAF-правил по типам атак с целью принятия одного решения по результатам проверки веб-трафика. Слои бывают системными и персональными.
WAF-профиль — это набор системных и/или персональных слоев. WAF-профиль с настроенными слоями определяет политику безопасности, в соответствии с которой выполняется защита вашего веб-сервиса.

Алгоритм настройки и применения политики безопасности следующий:

1. Убедитесь, что лицензия UserGate WAF Security Updates активирована. Подробнее о лицензии — в разделе «Лицензирование UserGate WAF».

2. Создайте WAF-профиль, включите необходимые слои с WAF-правилами и, если необходимо, настройте параметры слоев. Подробнее — в разделе «Создание WAF-профиля».

3. Если необходимо, настройте WAF-правила в каждом слое, чтобы выполнять только необходимые проверки веб-трафика. Подробнее — в разделе «Настройка системных WAF-правил».

4. Подключите созданный WAF-профиль к правилу публикации, настроенном на проверку трафика соответствующего веб-сервиса. Подробнее — в разделе «Подключение WAF-профиля к правилу публикации».

Правило публикации с выбранным WAF-профилем будет проверять веб-трафик на наличие угроз выбранному веб-сервису. При срабатывании WAF-правила, для которого включено журналирование, UserGate WAF записывает информацию об обнаружении атаки или другого события ИБ. Эти сведения доступны для просмотра и анализа в разделе Атаки. Подробнее — в разделе «Просмотр обнаруженных атак».

Работа с WAF-профилями

WAF-профиль необходим для настройки наборов слоев с WAF-правилами. По умолчанию WAF-профиль создается с выключенными слоями. В зависимости от того, какой уровень защиты следует обеспечить вашему веб-сервису, необходимо включить и настроить нужные слои.

В WAF-профиле могут использоваться как персональные слои с пользовательскими правилами, так и системные слои, содержащие правила от экспертов UserGate.

Вы можете создавать WAF-профили, копировать и удалять. Созданные WAF-профили отображаются в разделе Настройки ➜ Политика безопасности ➜ WAF-профили.

Создание WAF-профиля

Чтобы создать WAF-профиль:

1. В разделе Политика безопасности ➜ WAF-профили нажмите Добавить.

2. Введите название WAF-профиля.

3. В блоке WAF-слои в списке системных слоев включите нужные слои. В счетчике активных правил под названием слоя отобразится количество включенных правил.

ПримечаниеПосле сохранения WAF-профиля включенные слои автоматически поднимаются наверх в своих группах. Порядок в этом случае определяется так: первый в списке включенный слой поднимается на первое место, на второе место поднимается следующий по списку включенный слой и так далее. В рамках одной группы вы можете перемещать слои по списку, чтобы таким образом настроить очередность проверки трафика системными WAF-правилами.

4. Если необходимо, настройте каждый из включенных системных слоев. Подробнее — в разделе «Настройка системного слоя».

5. Если необходимо, добавьте и включите персональные слои с пользовательскими WAF-правилами. Подробнее — в разделе «Создание персонального слоя и пользовательских WAF-правил». Пользовательские правила имеют приоритет перед системными правилами, включенными в этом WAF-профиле.

6. Сохраните изменения.

Теперь созданный WAF-профиль можно подключить к правилу публикации.

Подключение WAF-профиля к правилу публикации

Чтобы подключить WAF-профиль к правиле публикации и начать проверку трафика в соответствии с настроенной политикой безопасности:

1. В разделе Политика сервисов ➜ Правила публикации создайте или выберите правило публикации. Подробнее — в разделе «Публикация веб-сервисов».

2. На вкладке Профили безопасности установите флажок Включить защиту веб-приложений (WAF) и выберите из списка нужный WAF-профиль.

ПримечаниеЕсли нужного профиля нет в списке, вы можете создать его, нажав в конце списка на «Создать и выбрать новый объект».

3. Завершите настройку других параметров правила публикации и сохраните изменения.

Правило публикации настроено на защиту веб-сервера, указанного в его параметрах.

Настройка системного слоя

Системные слои создаются компанией UserGate и содержат правила, сгруппированные по типам атак. Настройка системного слоя выполняется в рамках выбранного WAF-профиля. Выключение всего слоя исключает из проверки все WAF-правила, входящие в него. Если слой включен, параметры слоя влияют на то, какие WAF-правила, входящие в него, будут участвовать в проверке веб-трафика.

Для настройки доступны следующие параметры системного слоя:

Технологии защиты. Системные WAF-правила защищают веб-сервисы, разработанные на базе различных технологий. Например, Outlook Web Access или MySQL. Удаление технологии защиты из слоя исключает из проверки WAF-правила, связанные с этой технологией. Таким образом можно настроить политику безопасности с учетом используемых в вашем веб-сервисе технологий.
Уровень защиты, установленный в WAF-правиле (низкий, средний, высокий). Например, вы можете установить уровень защиты только «высокий», тогда в слое останутся активными только правила, обеспечивающие защиту этого уровня. Прочие правила, с уровнями защиты «низкий» и «средний», будут выключены.
Дополнительная конфигурация параметров отдельных правил. Выбранные таким образом значения параметров системных WAF-правил будут более приоритетными, чем те, которые изначально назначены в глобальном списке правил. Подробнее — в разделе «Настройка системных WAF-правил».

Чтобы настроить системный слой:

1. Выберите WAF-профиль и нажмите Редактировать.

2. В окне WAF-профиль в блоке WAF-слои выберите из списка слой и нажмите на его название.

3. В окне Свойства системного слоя настройте нужные параметры, включая параметры WAF-правил.

4. Сохраните изменения.

Создание персонального слоя и пользовательских WAF-правил

Чтобы более гибко управлять политикой безопасности, вы можете создавать персональные слои, содержащие пользовательские WAF-правила, написанные на языке UserGate Policy Language (UPL). Созданные персональные слои отображаются в разделе Политика безопасности ➜ Персональные слои. Вы можете просматривать и редактировать их, выполнять поиск по названию слоя.

Чтобы создать персональный слой:

1. В разделе Персональные слои нажмите Добавить.

ПримечаниеВы также можете создать персональный слой при создании или изменении WAF-профиля, нажав в окне свойств профиля кнопку «Добавить персональный слой».

2. В окне Свойства персонального слоя укажите название.

3. В области Редактирование выражения введите UPL-выражение, содержащее правила проверки трафика. Подробнее о синтаксисе написания UPL-правил — в разделе «UserGate Policy Language».

ПримечаниеОбласть представляет собой встроенный редактор с подсветкой ключевых слов и выражений и проверкой синтаксиса UPL.

4. Если необходимо, включите журналирование пользовательского правила. Для этого в области редактирования UPL-выражения добавьте свойство "rule_log(true)" или "rule_log(yes)".

5. Нажмите Проверить выражение и, если необходимо, внесите исправления.

6. Для активации правила добавьте свойство "enabled(true)".

7. Сохраните изменения.

Созданный персональный слой автоматически добавится во все WAF-профили и будет по умолчанию выключен. Чтобы UserGate WAF выполнял проверку веб-трафика с помощью пользовательских WAF-правил, при настройке WAF-профиля необходимо включить нужные персональные слои и затем подключить этот WAF-профиль к правилу публикации. Подробнее о настройке и подключении WAF-профилей — в разделе «Работа с WAF-профилями».

Работа с системными WAF-правилами

UserGate WAF поставляется с набором системных WAF-правил, обеспечивающих защиту веб-трафика от различных атак. Системные WAF-правила доступны для загрузки с серверов UserGate после активации лицензии и затем регулярно обновляются и дополняются командой экспертов UserGate, если настроено расписание автообновлений. Подробнее об автообновлениии — в разделе «Настройка общих параметров».

Важно!Для получения регулярных обновлений системных WAF-правил вам необходимо обладать лицензией на модуль Security Updates.

ПримечаниеПри обновлении экспертизы все системные WAF-правила как в WAF-профилях, так и в глобальном списке переводятся в режим журналирования – их действие устанавливается как No action. Журналирование включается автоматически, чтобы администратор мог проанализировать поведение новых версий правил перед включением блокировки. После обновления экспертизы следует проверить действия WAF-правил и при необходимости вернуть блокирующие действия.

Системные WAF-правила группируются в системные слои, которые также формируются разработчиками решения. Критерием группировки WAF-правил в слои являются следующие типы атак:

Abuse of Functionality;
Authentication/Authorization Attacks;
Buffer Overflow;
Command Execution;
Denial of Service;
Detection Evasion;
Directory Indexing;
HTTP Parser Attack;
HTTP Response Splitting;
Information Leakage;
LDAP Injection attempt;
SQL-injection;
Malicious File Upload;
Microsoft OWA;
Other Application Attacks;
Path Traversal;
Predictable Resource Location;
Remote File Include;
Server Side Code Injection;
Session Hijacking;
Trojan/Backdoor/Spyware;
Vulnerability Scan;
XPath Injection;
Cross site scripting (XSS);
XML External Entity (XXE).

Все системные WAF-правила отображаются в разделе Политика безопасности ➜ Глобальные правила. Вы можете просматривать сведения о WAF-правилах (например, в каком слое они находятся, какое выбрано действие или профиль ответа), изменять их параметры, выполнять поиск и сортировку.

О действиях в системных WAF-правилах

При срабатывании системного WAF-правила выполняется одно из назначенных действий:

No action — при срабатывании правила система фиксирует событие (если включено журналирование), но не предпринимает действий в отношении трафика.
Pass — все правила, расположенные в слое под сработавшим правилом, пропускаются, и происходит переход к проверке WAF-правилами следующего слоя (при его наличии). Если следующего слоя нет, проверка завершается пропуском запроса или ответа.
Deny — все правила, расположенные в слое под сработавшим правилом, пропускаются, и происходит переход к проверке WAF-правилами следующего слоя (при его наличии). Если следующего слоя нет, проверка завершается блокированием запроса или ответа.
Force deny — является окончательным результатом обработки, и перехода к проверке WAF-правилами следующего слоя не происходит. Проверка завершается блокированием запроса или ответа.
Force pass — является окончательным результатом обработки, и перехода к проверке WAF-правилами следующего слоя не происходит. Проверка завершается пропуском запроса или ответа.

Таким образом, приоритет force-действий выше, что следует учитывать, настраивая последовательность слоев.

Поиск системных WAF-правил

Для быстрого поиска в глобальном списке WAF-правил предусмотрены быстрые фильтры по основным параметрам. Также вы можете формировать собственные поисковые запросы для выполнения более сложной фильтрации. В этих запросах вы можете использовать для фильтрации параметры WAF-правила, которые недоступны в быстрых фильтрах. Структура и логика поисковых запросов для фильтрации WAF-правил та же, что и в поисковых запросах для журналов. Подробнее о логических операторах в поисковых запросах — в разделе «Поиск и фильтрация данных».

Важно!При формировании поискового запроса рекомендуется для одного параметра WAF-правила указывать одно значение или несколько значений через оператор OR. В противном случае результаты поиска могут быть неверными. Примеры корректного запроса: technology = "PHP" и technology = "PHP" OR technology = "WordPress". Пример некорректного запроса: technology = "PHP" AND technology = "WordPress".

Для фильтрации используются следующие параметры WAF-правила.

Название параметра в веб-консоли	Параметр	Описание
Уровень угрозы	`threatLevel`	Уровень угрозы, от которой защищает WAF-правило: `1`: низкий; `2`: средний; `3`: высокий
ID правила	`ruleId`	Идентификатор WAF-правила
Название	`name`	Название WAF-правила
Ссылка	`reference`	Ссылки на внешние ресурсы с описаниями уязвимостей
Время последнего обновления	`lastUpdate`	Время последнего обновления правила на серверах UserGate
Профиль ответа	`responseProfile`	Название профиля ответа
Системный слой	`systemLayer`	Системный слой, к которому относится WAF-правило
Пакет	`package`	Название пакета экспертизы, в который входит данное WAF-правило
Действие	`action`	Действие правила: `No action`, `Pass`, `Deny`, `Force deny`, `Force pass`
Состояние правила	`enabled`	Активация правила: `true`, `false`
Журналирование	`loggingStatus`	Включение или отключения журналирования событий, связанных с правилом: `true`, `false`
Технология	`technology`	Название технологии защиты
Исключения	`exceptions`	Название исключения, добавленного к правилу

Настройка системных WAF-правил

В веб-консоли UserGate WAF вы можете настраивать системные WAF-правила двумя способами:

через настройку WAF-профиля;
через глобальный список системных WAF-правил.

Для изменения доступны следующие параметры системного WAF-правила:

Включение или выключение WAF-правила.
Исключения к WAF-правилу. Подробнее об исключениях — в разделе «Настройка исключений для WAF-правил».
Журналирование событий, связанных с работой WAF-правила.

ПримечаниеПо умолчанию журналирование событий включено во всех системных WAF-правилах.

Действие, которое будет выполнено при срабатывании WAF-правила.
Профиль ответа, который вернется в ответ на клиентский запрос, если сработает WAF-правило с блокирующим действием. Подробнее о профилях ответа — в разделе «Профили ответа».
Отмена всех изменений и возвращение значений параметров правила к изначальным.

Настройка системного WAF-правила в WAF-профиле

При настройке системного WAF-правила в профиле WAF параметры правила изменяются только в этом профиле и имеют более высокий приоритет, чем параметры в глобальном списке правил. Например, если в профиле Example для правила Rule1 действие No Action заменено на Pass, это значение сохранится, даже если в глобальном списке для Rule1 будет выбрано действие Force pass.

Чтобы изменить параметры системного WAF-правила в WAF-профиле:

1. В разделе WAF-профили создайте по кнопке Добавить или выберите из списка WAF-профиль.

2. В окне WAF-профиль в блоке WAF-слои в одной из групп системных слоев выберите системный слой и нажмите на его название.

3. В окне Свойства системного слоя в секции Правила нажмите Настройка правил.

4. В окне Настройка правил выберите WAF-правило и нажмите Переопределить.

5. В окне Переопределение правил измените нужные параметры.

6. Сохраните все изменения.

ПримечаниеВы также можете изменить параметры сразу нескольких WAF-правил. Для этого в окне «Настройка правил» нужно выбрать несколько WAF-правил, затем нажать «Переопределить», в окне «Переопределение правил» изменить нужные параметры и сохранить изменения.

Настройка системного WAF-правила в глобальном списке

При настройке системного WAF-правила через глобальный список параметры WAF-правила изменятся только в тех WAF-профилях, в которых не выполнялось переопределение параметров этого правила.

Чтобы изменить параметры системного WAF-правила через глобальный список:

1. В разделе Глобальные правила выберите нужное WAF-правило и нажмите Редактировать.

2. В окне Редактирование правил измените нужные параметры.

3. Сохраните изменения.

ПримечаниеВы также можете изменить параметры сразу нескольких WAF-правил. Для этого в глобальном списке нужно выбрать несколько WAF-правил, затем нажать «Редактировать», в окне «Редактирование правил» изменить нужные параметры и сохранить изменения.

Восстановление значений по умолчанию

При настройке политики безопасности может понадобиться восстановить исходные состояния отдельных элементов. В зависимости от того, значения параметров какого элемента нужно вернуть к исходным, необходимо перейти в одно из следующих окон и нажать Восстановить значения по умолчанию:

В окне WAF-профиль — чтобы вернуть значения по умолчанию для всех системных слоев в WAF-профиле.
В окне Свойства системного слоя — чтобы сбросить в первоначальное состояние выставленные технологии и уровни защиты этого слоя.
В окне Свойства системного слоя, нажав Настройка правил, — чтобы восстановить исходное состояния выбранных правил в WAF-профиле
В разделе Глобальные правила — чтобы восстановить исходное состояние выбранных правил в глобальном списке.