Связаться с намиПодключиться

Как начать работать с профилем WAF

Статья создана
Обновлена 22 октября 2024 г.

Для защиты ваших веб-приложений от внешних угроз в Yandex Smart Web Security реализован Web Application Firewall (WAF).

Создайте первый профиль WAF и подключите его к имеющемуся профилю безопасности Yandex Smart Web Security.

Если у вас еще не настроен профиль безопасности, создайте его и подключите к виртуальному хосту L7-балансировщика Yandex Application Load Balancer. Подробнее см. Как начать работать с профилем безопасности.

Чтобы начать работу с WAF:

  1. Создайте профиль WAF.
  2. Настройте набор базовых правил.
  3. Создайте правило-исключение.
  4. Подключите профиль WAF к профилю безопасности.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Создайте профиль WAF

  1. В консоли управления выберите каталог, в котором вы хотите создать профиль WAF.

  2. В списке сервисов выберите Smart Web Security.

  3. Перейдите на вкладку Профили WAF и нажмите кнопку Создать профиль WAF.

  4. Опишите сценарий использования функциональности WAF в своих проектах и нажмите кнопку Отправить заявку.

    После одобрения заявки вы сможете перейти к созданию профиля WAF.

  5. Введите имя профиля, например test-waf-profile-1.

  6. По умолчанию в профиле WAF включен набор базовых правил OWASP Core Rule Set. Чтобы посмотреть правила, которые включены в набор, нажмите на строку с его описанием.

  7. Нажмите кнопку Создать.

Настройте набор базовых правил

  1. На открывшейся обзорной странице профиля WAF нажмите кнопку Настроить набор базовых правил.

  2. Установите необходимый Порог аномальности — суммарную аномальность сработавших правил, при которой запрос будет заблокирован, например Умеренный - 25 и выше.

    Рекомендуется начинать с порога аномальности 25 и постепенно снижать его до 5. Чтобы снизить порог аномальности, отработайте ложные срабатывания WAF на легитимные запросы. Для этого подберите правила из базового набора и настройте правила-исключения. Также для тестирования разных порогов аномальности используйте в профиле безопасности режим Только логирование (dry-run).

  3. Установите необходимый Уровень паранойи, например 2 и менее.

    Уровень паранойи классифицирует правила по степени агрессивности. Чем выше уровень паранойи, тем лучше уровень защиты, но и больше вероятность ложных срабатываний WAF.

  4. Проверьте включенные в набор правила, при необходимости включите дополнительные или уберите ненужные. При работе с правилами обращайте внимание на значение их аномальности и уровень паранойи.

Любое правило из набора можно сделать блокирующим. Запрос, соответствующий таком правилу, будет заблокирован независимо от установленного порога аномальности. Чтобы сделать правило блокирующим, нажмите справа от него. Если в профиле безопасности включен режим Только логирование (dry-run), запросы не будут заблокированы, даже если они соответствуют блокирующим правилам.

Создайте правило-исключение

  1. Перейдите на вкладку Правила-исключения и нажмите кнопку Создать правило-исключение.

  2. Введите имя правила-исключения, например exception-rule-1.

  3. В блоке Область применения укажите правила из базового набора, для которых будет срабатывать исключение. Вы можете выбрать Все правила или указать конкретные.

  4. В блоке Условия на трафик выберите условия для срабатывания правила-исключения.

    Если оставить поле Условия пустым, правило-исключение будет применено ко всему трафику.

  5. Нажмите кнопку Создать.

Подключите профиль WAF к профилю безопасности

  1. Перейдите на вкладку Профили безопасности.
  2. В списке выберите профиль безопасности, к которому вы хотите подключить профиль WAF, например test-sp1.
  3. Нажмите кнопку Добавить правило.
  4. Введите имя правила, например waf-rule-1.
  5. В поле Приоритет задайте значение выше, чем у правил Smart Protection, уже имеющихся в профиле безопасности, например 888800.
  6. (Опционально) Чтобы протестировать профиль WAF и отработать ложные срабатывания на легитимные запросы, используйте в профиле безопасности режим Только логирование (dry-run).
  7. В поле Тип правила выберите Web Application Firewall.
  8. В поле Профиль WAF выберите test-waf-profile-1, созданный ранее.
  9. В поле Действие выберите Полная защита.
  10. При необходимости задайте условия для сопоставления трафика.
  11. Нажмите кнопку Добавить.

См. также

Предыдущая
Начало работы cо Smart Web Security
Следующая
Начало работы с ARL