Ir para o conteúdo

Customização do WAF

Configuração

A customização de WAF é configurada por meio de Smart Rules. Você pode ver como configurar via painel e via API. Nesta seção, serão apresentados casos de uso em que esta opção pode ser usada.

Ativar todas as regras do WAF com comportamento padrão

A ação de comportamento padrão, para regras ativadas, faz com que as regras tenham o comportamento original do WAF da GoCache.

Algumas regras do ruleset gocache-v1 (o único disponível no momento) vem desabilitadas por padrão por ter maior risco de ocorrência de falsos positivos. Para habilitar todas as regras do ruleset sem comprometer o mecanismo de scoring deste ruleset, basta configurar gocache-v1/*, como visto abaixo:

waf-custom-all-default

Atenção: se você configurar o ruleset gocache-v1/* com o comportamento “Bloquear”, “Desafiar”, ou “Simular”, o mecanismo de scoring será desativado, e até mesmo regras que identificam padrões de baixo risco, executarão ação imediata, sem depender da avaliação de outras regras.

Habilitar apenas alguns grupos de regras

Em um exemplo para a proteção de sua aplicação apenas contra SQL Injection, o grupo de regras relacionados a este tipo de ataque (SQLI) é identificado como gocache-v1/41*. Para configurar dessa forma você precisa primeiro desativar todo o ruleset e configurar o grupo de regras desejado com o comportamento “Padrão”. A configuração deve ficar da seguinte forma:

waf-custom-group-default

Habilitar todo o ruleset exceto alguns grupos de regras

Se você deseja habilitar todo o ruleset, mas desativar um mais mais grupos de regras, como por exemplo, os grupos custom e protocol violation, basta a configurar o ruleset gocache-v1/* com o comportamento “Padrão”, e desativar os grupos gocache-v1/90* e gocache-v1/20*:

waf-custom-disable-groups

Desabilitar uma regra

Em um exemplo de scan de vulnerabilidades utilizando nikto, o WAF poderá bloquear a requisição baseado no user agent usado. Para abrir uma exceção para seu scan sem ser muito permissivo, você pode criar uma regra baseada em seu IP e no padrão de user-agent nikto, que desativa a regra gocache-v1/35001.

waf-custom-disable-rule

Regra(s) com ação de simular

Caso ocorram bloqueios indevidos, e a regra que gerou os bloqueios tenha sido identificada nos eventos de segurança, você pode alterar a regra com a ação de simular para que não ocorram mais bloqueios pela mesma, sem perder a visibilidade de ocorrências e continuar com a proteção contra outros padrões de ameaça. Abaixo, você vê um exemplo com a regra gocache-v1/21006:

waf-custom-simulate-rule

Regra(s) com ação de bloquear

Para evitar ser ameaçado por ataques sofisticados, com capacidade de resolução de captcha, você pode configurar regras que bloqueiem imediatamente requisições com padrões específicos. No exemplo a seguir, todo o grupo de regras de SQLI, gocache-v1/41*, são configuradas para bloquear a requisição, independente de outras regras:

waf-custom-block-group

Note que esta ação pode gerar falsos positivos dependendo do seu padrão de acesso, em dúvida você pode utilizar a ação de simular por algum tempo e verificar nos eventos de segurança que não houveram falsos positivos antes de ativar a ação de bloquear.