waf 配置详解_专家答疑样例-Higress官网
铭师堂的云原生升级实践点此了解

waf 配置详解

发布时间 2024-09-26


用户问题 :

waf 配置详解


专家官方解答 :

Higress WAF 配置详解如下:

1. 功能概述

Higress开源版WAF插件旨在为您的应用提供基于OWASP ModSecurity Core Rule Set (CRS)的防护。CRS是一套广泛认可的安全规则集合,用于检测和阻止常见的Web攻击,如SQL注入、跨站脚本(XSS)等。

2. 启用OWASP CRS

要启用OWASP CRS,您需要在配置中设置useCRS字段为true。这将激活CRS提供的默认安全策略。

useCRS: true

链接: coreruleset

3. 配置规则引擎模式

  • 观察模式:此模式下,WAF仅记录潜在的攻击而不实际阻止。适合测试和调试阶段。
    secRules:
    - "SecRuleEngine DetectionOnly"
  • 防护模式:启用后,WAF将按照配置的规则执行防护动作,如拒绝违规请求。
    secRules:
    - "SecRuleEngine On"

4. 自定义规则

您可以通过secRules字段添加自定义的WAF防护规则,遵循SecLang语法。例如,阻止所有访问/admin路径的请求:

secRules:
- "SecRuleEngine On"
- "SecRule REQUEST_URI \"@streq /admin\" \"id:101,phase:1,t:lowercase,deny\""

这条规则会在请求的第一阶段检查REQUEST_URI,如果其精确等于/admin(忽略大小写),则拒绝该请求。

注意事项

  • Body缓存限制:确保请求和响应Body的大小不超过downstream.connectionBufferLimits配置值,以避免请求或响应异常。
  • 性能考量:不要过度增大downstream.connectionBufferLimits,以免在网络延迟较高时导致网关内存占用过多。

结论

通过上述配置,您可以根据需求灵活调整Higress WAF的行为,从仅记录日志的观察模式到积极阻止威胁的防护模式,并能轻松实现自定义防护规则以应对特定安全场景。请务必在生产环境部署前,充分测试配置以确保业务兼容性和安全性。

---------------

参考链接 :

  • 专家经验:higress WAF 防护

---------------

答疑服务说明:

本内容经由技术专家审阅的用户问答的镜像生成,我们提供了专家智能答疑服务,使用方法: 用法1: 在页面的右下的浮窗”专家答疑“。 用法2: 点击专家答疑页(针对部分网站不支持插件嵌入的情况)

另:

有其他开源产品的使用问题?点击访问阿里AI专家答疑服务

反馈

如问答有错漏,欢迎点:差评给我们反馈。