Customização do WAF

Explicando o WAF

Antes de falar sobre como customizar o WAF, é importante entender como ele funciona. O WAF da GoCache consiste em centenas de regras, cuja função de cada uma é identificar se a requisição contém um padrão específico de ameaça que pode ser encontrado em ataques conhecidos a aplicações web.

Se o padrão de uma regra for encontrado em uma requisição, ela imediatamente exigirá uma ação, que pode ser bloquear imediatamente a requisição, enviar um captcha imediatamente ao usuário, incrementar um score (pontuação) contido em uma variável ou gerar um evento de segurança para posterior análise, mas sem interromper a interpretação e ação das demais regras.

A ação do WAF pode ser acionada imediatamente, caso a ação da regra seja de bloqueio ou desafio com captcha, ou pode ser acionada após a análise de outras regras, caso haja uma sequência de regras desabilitadas, com ação de simular, ou ação de score, sendo especial o último caso, pois permite um mecanismo mais sofisticado, em que uma regra final defina a ação sobre a requisição, de acordo com a pontuação de risco da mesma.

A GoCache disponibiliza dois rulesets gerenciados: o gocache-v1 e o gocache-v2. Eles são baseados no Core Rule Set da OWASP, versões 2.2.9 e 4.25.0, além de incluírem regras criadas pela GoCache para defender contra as CVEs mais recentes, garantindo proteção contra ataques recém-descobertos. Com o tempo, mais rulesets serão disponibilizados. Também podemos criar regras exclusivas para clientes, com base nas necessidades específicas de suas aplicações.

Você pode conhecer melhor o funcionamento do ruleset gocache-v1 aqui, e do gocache-v2 aqui