WAF (Описание)

WAF (Web Application Firewall) — система безопасности, предназначенная для защиты веб-приложений от известных уязвимостей и угроз. WAF в UserGate используется для фильтрации трафика приложений на прикладном уровне модели TCP/IP. Пропуская трафик через обратный прокси-сервер и анализируя входящий и исходящий HTTP/HTTPS трафик, WAF блокирует потенциально вредоносные запросы и обеспечивает повышенный уровень безопасности веб-приложений. 

Если UserGate WAF находит в трафике примеры вредоносного кода или другие особенности, отмеченные в сигнатурах безопасности, прохождение трафика может быть заблокировано, событие сохраняется в журнал. 

Для настройки UserGate WAF необходимо выполнить следующие шаги:

  • Лицензировать функциональность WAF. После лицензирования раздел настроек WAF появится в веб-интерфейсе.
  • Создать персональный WAF-слой с пользовательскими наборами UPL-правил. Можно создать группы со своими UPL-правилами. 

  • Создать WAF-профиль. WAF-профили отвечают за создание и редактирование наборов слоев с UPL правилами. В профиле могут использоваться как персональные слои с пользовательскими правилами, так и системные слои, содержащие системные правила.

  • В созданном WAF-профиле включить слои с пользовательскими или системными UPL-правилами.

  • Подключить WAF-профиль в правило reverse-прокси.

Лицензирование UserGate WAF

Для того, чтобы активировать модуль WAF на межсетевом экране UserGate, необходимо добавить в лицензию дополнительный модуль. Без необходимой лицензии функциональность WAF скрыта из графического интерфейса, соответствующие методы API тоже недоступны.

После активации лицензии необходимо выйти из веб-консоли и заново авторизоваться. После нового входа в GUI все страницы и окна WAF будут доступны, можно совершать операции обновления правил, удаления, добавления, просмотра и т.д. 

При отсутствии лицензии функциональность WAF отключается, все параметры становятся недоступны, однако пользовательские правила сохраняются в памяти устройства. Если снова активировать модуль, то старые правила отобразятся в списках.
 

Системные WAF-правила

Системные WAF-правила — это правила, загружаемые с серверов UserGate автоматически после активации лицензии. Системные правила отображаются в веб-интерфейсе только для просмотра и не редактируются. Для быстрого поиска предусмотрен фильтр и сортировка по полям в таблице правил.

Слой — это конструкция, используемая для группировки правил и принятия одного решения. Слои сгруппированы по типам атак.

Название поля

Имя поля в API

Описание 

Уровень защиты 

threat_level 

Отображает уровень защиты данного правила

  • 1 (very low): очень низкий;

  • 2 (low): низкий;

  • 3 (medium): средний;

  • 4 (high): высокий;

  • 5 (very high): очень высокий.

ID правила

id

Отображает идентификатор правила.

Название

name

Название правила.

Описание

Описание правила.

Ссылка

refs

Отображает ссылки на внешние ресурсы с описаниями уязвимостей..

Время последнего обновления

date

Отображает время последнего обновления правила на серверах UserGate.

Системные WAF-слои

layer

Отображает системный слой к которому относится правило. Системные правила сгруппированы по типам известных уязвимостей:

  • Abuse of Functionality.

  • Authentication/Authorization Attacks.

  • Buffer Overflow.

  • Command Execution.

  • Denial of Service.

  • Detection Evasion.

  • Directory Indexing.

  • HTTP Parser Attack.

  • HTTP Response Splitting.

  • Information Leakage.

  • LDAP Injection attempt.

  • SQL-injection.

  • Malicious File Upload.

  • Microsoft OWA.

  • Other Application Attacks.

  • Path Traversal.

  • Predictable Resource Location.

  • Remote File Include.

  • Server Side Code Injection.

  • Session Hijacking.

  • Trojan/Backdoor/Spyware.

  • Vulnerability Scan.

  • XPath Injection.

  • Cross site scripting (XSS).

  • XML External Entity (XXE).

Персональные WAF-слои

Персональные WAF-слои — это конструкция UPL-правил, созданная администратором межсетевого экрана. Данный раздел позволяет управлять пользовательскими слоями: создавать, удалять, обновлять и просматривать. Так как количество слоев может быть большим, на странице WAF ➜ Пользовательские WAF-слои есть фильтр для поиска слоев по имени.

Персональные WAF-слои могут быть добавлены в WAF-профиль для дальнейшего использования.

Подробнее о синтаксисе написания UPL-правил смотрите в разделе Настройка правил с использованием UPL - UserGate.

Для создания Персонального WAF-слоя необходимо нажать на кнопку Добавить, в свойствах персонального WAF-слоя указать следующие параметры:

Наименование

Описание

Название

Название персонального WAF-слоя.

Описание

Описание персонального WAF-слоя.

Редактирование выражения

Поле для записи/редактирования UPL выражения, содержащие правила фильтрации трафика.

Проверить выражение

Проверка UPL выражения, способствует отображению ошибок в тексте.  В случае неверного набора синтаксиса в тексте будут отображены подсказки, где была допущена ошибка.  

Ошибка отображается с номером строки, где была допущена ошибка.

WAF-профили

WAF-профиль  — это набор пользовательских и/или системных слоев. В данном разделе можно управлять профилями: создавать, удалять, обновлять и просматривать. 

В верхней части страницы находится фильтр для поиска по имени профиля. 

Для создания WAF-профиля необходимо нажать на кнопку Добавить и указать следующие параметры:

Наименование

Описание

Название

Название профиля.

Описание

Описание профиля.

WAF слои 

Наборы UPL правил:

  • Персональные WAF-слои.

  • Системные WAF-слои. Слои сгруппированы по типам атак. 

Для включения системного слоя в редактируемый профиль его нужно включить в колонке Action.

Активных правил 

Отображает количество активированных правил. 

Предусмотрена возможность профильтровать системные правила в выбранном системном слое, которые будут подключены в редактируемый профиль.  Для редактирования нужно нажать на системный слой, появится диалоговое окно.  

Наименование

Описание

HTTP Constraint 

Название выбранного системного слоя, флажок, позволяющий включить выбранный слой

Технология защиты

Фильтр технологий для правил из выбранного системного слоя. В профиль будут подключены правила только с выбранными технологиями, или со всеми, если выбраны все технологии или технология All Systems. 

Уровень защиты

Фильтр правил по уровню защиты. В профиль будут подключены правила только с выбранными уровнями защиты.

Управление WAF-правилами 

Таблица отображает правила, которые удовлетворяют условиям фильтров уровня и технологии защиты.  Данные правила будут подключены к редактируемому профилю.

Подключение WAF-профиля в правила reverse-прокси

Для активации созданного WAF-профиля необходимо указать его в правилах reverse-прокси. Порядок подключения следующий:

1. Прейдите в раздел Глобальный портал, выберите Правила reverse-прокси. 

2. Нажмите кнопку Добавить, в появившемся диалоговом окне редактируемого правила выберите вкладку WAF.

3. Поставьте флажок Включить защиту веб-приложений (WAF), выберите необходимый WAF-профиль и сохраните внесенные изменения.