Для настройки UserGate WAF необходимо выполнить следующие шаги:
-
Лицензировать WAF.
-
Создать профиль. Профили отвечают за создание и редактирование наборов слоев с UPL-правилами. В профиле могут использоваться как персональные слои с пользовательскими правилами, так и системные слои, содержащие системные правила.
-
В созданном профиле включить слои с необходимыми UPL-правилами.
-
Подключить профиль в правило reverse-прокси.
Системные правила
Системные правила — это правила, загружаемые с серверов UserGate автоматически после активации лицензии. Системные правила отображаются в разделе веб-интерфейса WAF ➜ Правила:
У системных правил могут быть изменены следующие параметры:
-
состояние (включено/отключено);
-
действие (No action/Pass/Deny/Force pass/Force deny).
Для редактирования параметров необходимо выбрать нужное правило, нажать Редактировать в панели инструментов и в появившемся окне отредактировать соответствующие параметры:
.svg)
Для быстрого поиска предусмотрен фильтр и сортировка по полям в таблице правил.
В структуре системных правил используются следующие поля:
|
Название поля |
Имя поля |
Описание |
|---|---|---|
|
Уровень угрозы |
threat_level |
Отображает уровень защиты данного правила
|
|
ID правила |
id |
Отображает идентификатор правила. |
|
Название |
name |
Название правила. |
|
Ссылка |
refs |
Отображает ссылки на внешние ресурсы с описаниями уязвимостей. |
|
Время последнего обновления |
date |
Отображает время последнего обновления правила на серверах UserGate. |
|
Системный слой |
layer |
Отображает системный слой, к которому относится правило. Системные правила сгруппированы по типам известных уязвимостей:
|
|
Пакет |
package name |
Название пакета экспертизы, в который входит данное правило. |
|
Действие |
action |
Действие правила:
У любого правила в слое может быть префикс PASS, FORCE_PASS, DENY, FORCE_DENY. Когда срабатывает правило с таким префиксом, все остальные правила в слое пропускаются. Срабатывание правила с префиксом FORCE_PASS или FORCE_DENY является окончательным результатом обработки, в противном случае обработка переходит на следующий слой. После обработки всех слоев запрос будет заблокирован или пропущен в зависимости от того, что было последним — DENY/FORCE_DENY или PASS/FORCE_PASS. Действие No action означает, что когда срабатывает правило с таким префиксом, то ничего не предпринимается (за исключением журналирования, если эта опция установлена). |
Слои
Слой — это конструкция, используемая для группировки правил и принятия одного решения. Существуют системные и персональные слои.
Системные слои создаются компанией UserGate, они содержат правила, сгруппированные по типам атак.
Принадлежность правил системным слоям можно посмотреть в разделе WAF ➜ Правила:
Также состав системного слоя можно посмотреть в свойствах системного слоя. Свойства системного слоя вызываются из профиля WAF. Предусмотрена возможность фильтрации правил в системном слое (Подробнее читайте ниже).
.svg)
Нажав на строчку Настройка правил в разделе Правила можно посмотреть состав системного слоя:
Персональные слои — это наборы UPL-правил, созданные администратором. Раздел WAF ➜ Персональные слои в веб-консоли позволяет управлять персональными слоями: создавать, удалять, обновлять и просматривать.
.svg)
Так как количество слоев может быть большим, в верхней части раздела Персональные слои есть фильтр для поиска слоев по имени:
.svg)
Для создания персонального слоя необходимо нажать Добавить, в свойствах персонального слоя указать следующие параметры:
-
Название — название персонального слоя;
-
Описание — опциональное описание персонального слоя;
-
Редактирование выражения — поле для записи/редактирования UPL-выражения, содержащего правила фильтрации трафика;
-
Проверить выражение — проверка UPL-выражения.
В случае неверного синтаксиса в выражении после проверки будут отображены подсказки и номер строки, где была допущена ошибка:
Подробнее о синтаксисе написания UPL-правил — в разделе UserGate Policy Language.
Профили
Профиль — это набор персональных и/или системных слоев. В разделе веб-интерфейса WAF ➜ Профили можно управлять профилями: создавать, удалять, обновлять и просматривать.
.svg)
В верхней части страницы Профили есть фильтр для поиска профилей по имени:
.svg)
Для создания профиля необходимо нажать Добавить, в свойствах указать следующие параметры:
-
Название — название профиля;
-
Описание — опциональное описание профиля;
-
WAF слои — наборы UPL-правил (персональные слои, системные слои), для включения слоя в редактируемый профиль его нужно включить в колонке Действие;
В строке Активных правил отображает количество активированных правил в профиле.
После сохранения профиля включенные слои автоматически поднимаются наверх в своих группах. Порядок в таком случается определяется так: первый в списке включенный слой поднимается на первое место, затем ищется следующий включенный слой, который поднимается на второе место, и так далее.
Слои можно перемещать только в рамках своих групп, первым идут персональные слои, затем системные.
Включенные слои автоматически поднялись на самый верх списка в своих группах. Можно поменять включенные слои местами (например, передвинуть слой «Layer 3» на самых верх) и после повторного открытия профиля, порядок изменится:
Непосредственно из окна профиля можно создать новый персональный слой. При нажатии кнопки Добавить персональный слой откроется диалоговое окно создания персонального слоя:
Предусмотрена возможность фильтровать системные правила в выбранном системном слое, который будет подключен в редактируемый профиль. Для редактирования нужно нажать на системный слой в окне профиля, появится диалоговое окно:
.svg)
В открывшемся окне предоставлены:
-
Флажок для включения/отключения данного системного слоя;
-
Технология защиты — фильтр технологий для правил из выбранного системного слоя; в профиль будут подключены правила только с выбранными технологиями;
-
Уровень защиты — фильтр правил по уровню защиты; в профиль будут подключены правила только с выбранными уровнями защиты.
Администратор может сбросить в первоначальное состояние выставленные технологии и уровни защиты всего системного слоя, нажав Восстановить значения по умолчанию.
Управление WAF-правилами доступно в разделе окна Правила по ссылке Настройка правил. Открывается таблица, отображающая все отфильтрованные правила, которые будут подключены к редактируемому профилю:
.svg)
В таблице могут быть изменены следующие параметры отдельных правил, входящих в слой: состояние правила, журналирование и действию. Параметры правил могут быть сброшены в первоначальное состояние с помощью кнопки Восстановить значения по умолчанию в панели инструментов.
Для восстановления в исходное состояние всех системных слоев профиля одновременно, необходимо нажать Восстановить значения по умолчанию в окне профиля:
Журналирование правил
Функция журналирования устанавливается на уровне правила.
1. Для системных правил опция журналирования по умолчанию включена. Перенастройка опции журналирования происходит в окне настройки правил слоя или в общем списке правил, как указано ранее.
2. Для персонального слоя журналирование включается для каждого правила отдельно. Для этого необходимо добавить в UPL-правило свойство "rule_log(true)". После этого требуется включить эти слои и сохранить профиль.
Подключение WAF-профиля в правила reverse-прокси
Для активации созданного WAF-профиля необходимо указать его в правилах reverse-прокси. Порядок подключения следующий:
1. Перейти в раздел Глобальный портал, выбрать Правила reverse-прокси.
2. Нажать кнопку Добавить, в появившемся диалоговом окне редактируемого правила выбрать вкладку WAF.
3. Поставить флажок Включить защиту веб-приложений (WAF), выбрать необходимый WAF-профиль и сохранить внесенные изменения.
.svg)
.svg)