Skip to content

Customização do WAF

Configuração

A customização de WAF é configurada por meio de Smart Rules. Você pode ver como configurar via painel aqui e via API aqui. Nesta seção, serão apresentados casos de uso em que esta opção pode ser usada.

Ativar todas as regras do WAF com comportamento padrão

Algumas regras do ruleset gocache-v1 (o único disponível no momento) vem desabilitadas por padrão por ter maior risco de ocorrência de falsos positivos. Para habilitar todas as regras do ruleset sem comprometer o mecanismo de scoring deste ruleset, basta configurar gocache-v1/*, como visto abaixo:

waf-custom-all-default

Atenção: se você configurar o ruleset gocache-v1/* com o comportamento “Bloquear”, “Desafiar”, ou “Simular”, o mecanismo de scoring será desativado, e até mesmo regras que identificam padrões de baixo risco, gerarão ação imediata, sem depender da avaliação de outras regras.

Habilitar apenas alguns grupos de regras

Vamos supor que faça sentido proteger sua aplicação apenas contra SQL Injection. O grupo de regras que protegem contra SQLI é identificado como gocache-v1/41*. Para configurar dessa forma você precisa primeiro desativar todo o ruleset e configurar o grupo de regras desejado com o comportamento “Padrão”. A configuração deve ficar da seguinte forma:

waf-custom-group-default

Habilitar todo o ruleset exceto alguns grupos de regras

Se você deseja habilitar todo o ruleset, mas desativar um mais mais grupos de regras, como por exemplo, os grupos custom e protocol violation, basta a configurar o ruleset gocache-v1/ com o comportamento “Padrão”, e desativar os grupos gocache-v1/90 e gocache-v1/20*:

waf-custom-disable-groups

Desabilitar uma regra

Numa situação em que você esteja fazendo um scan de vulnerabilidades, o WAF pode bloquear a requisição baseado no user agent usado, por exemplo, o nikto. Para abrir uma exceção para seu scan sem ser muito permissivo, você pode criar uma regra baseada em seu IP e no padrão de user-agent nikto, que desativa a regra gocache-v1/35001.

waf-custom-disable-rule

Colocar uma regra em simular

Numa situação em que clientes reclamaram ter sido bloqueados indevidamente e você tenha identificado a regra que gerou os bloqueios nos eventos de segurança, você pode colocar a regra em simular, para que nenhum cliente seja bloqueado por ela, mas sem você perder a visibilidade das ocorrências e continuar tendo a proteção contra outros padrões de ameaça. Abaixo, você vê um exemplo com a regra gocache-v1/21006:

waf-custom-simulate-rule

Colocar regras em bloquear

Você pode estar em uma situação de ter configurado o WAF com modo de proteção “Desafiar”, porém, há regras com padrões assertivos, que protegem contra ameaças de alto risco. Para evitar ser ameaçado por ataques sofisticados, com capacidade de resolução de captcha, você pode configurar regras para que bloqueie imediatamente requisições com estes padrões. No exemplo a seguir, todo o grupo de regras de SQLI, gocache-v1/41*, são configuradas para bloquear a requisição, independente de outras regras:

waf-custom-block-group

Outras possibilidades

Os casos acima refletem apenas alguns exemplos de uso, mas o ideal é que você analise seu caso e defina regras que permitam a maior assertividade possível para sua aplicação.