| title | description | namespace | permalink |
|---|---|---|---|
WAF Custom Allowed Rules |
Otimize a segurança de suas edge applications com Custom Allowed Rules para WAF. |
documentation_products_edge_firewall_web_application_firewall_custom_allowed_rules |
/documentacao/produtos/secure/edge-firewall/web-application-firewall/custom-allowed-rules/ |
Web Application Firewall (WAF) Custom Allowed Rules é um recurso que permite instanciar regras de WAF especificamente para a necessidade de suas edge applications, considerando o tráfego, requisições e dados reais de suas aplicações. Use WAF Custom Allowed Rules para ampliar os níveis de segurança de seu aplicativo e também para impedir falsos positivos.
Para instanciar Custom Allowed Rules em um WAF Rule Set, você deve ter uma configuração de Edge Firewall com o módulo Web Application Firewall ativado.
:::tip[dica] Saiba mais sobre os módulos do Edge Firewall e o Web Application Firewall. :::
Sua WAF Custom Allowed Rule pode ser baseada em solicitações reais, marcadas pelo WAF como possíveis ameaças. Você também pode criar uma custom allowed rule em casos de testes e falsos positivos.
Ao criar Custom Allowed Rule para uma configuração de WAF, é necessário escolher, entre as disponíveis, uma regra interna para sua composição.
Veja, abaixo, a lista de todas as regras internas disponíveis:
| ID da Regra | Descrição |
|---|---|
| 1 | Solicitação estranha, incapaz de analisar |
| 2 | Requisição maior que 128 kilobytes, armazenada no disco e não parseada |
| 10 | Codificação HEX inválida (bytes nulos) |
| 11 | Cabeçalho Content-Type ausente ou desconhecido em um POST. Esta regra se aplica apenas à zona de correspondência Request Body |
| 12 | Formatação de URL inválida |
| 13 | Formato POST inválido |
| 14 | Limite de POST inválido |
| 15 | Formato JSON inválido |
| 16 | POST sem corpo |
| 17 | Possível ataque de SQL Injection: validação com libinjection_sql |
| 18 | Possível ataque de XSS: validação com libinjection_xss |
| 1000 | Possível ataque de SQL Injection: palavras-chave SQL encontradas no Body, Path, Query String ou Cookies |
| 1001 | Possível ataque de SQL Injection: aspas duplas " encontradas no Body, Path, Query String ou Cookies |
| 1002 | Possível ataque de SQL Injection: possível codificação HEX 0x encontrada no Body, Path, Query String ou Cookies |
| 1003 | Possível ataque de SQL Injection: comentário MySQL /* encontrado no Body, Path, Query String ou Cookies |
| 1004 | Possível ataque de SQL Injection: comentário MySQL */ encontrado no Body, Path, Query String ou Cookies |
| 1005 | Possível ataque de SQL Injection: palavra-chave MySQL | encontrada no Body, Path, Query String ou Cookies |
| 1006 | Possível ataque de SQL Injection: palavra-chave MySQL && encontrada no Body, Path, Query String ou Cookies |
| 1007 | Possível ataque de SQL Injection: comentário MySQL -- encontrado no Body, Path, Query String ou Cookies |
| 1008 | Possível ataque de SQL Injection ou XSS: ponto e vírgula ; encontrado no Body, Path ou Query String |
| 1009 | Possível ataque de SQL Injection: sinal de igual = encontrado no Body ou Query String |
| 1010 | Possível ataque de SQL Injection ou XSS: parêntese aberto ( encontrado no Body, Path, Query String ou Cookies |
| 1011 | Possível ataque de SQL Injection ou XSS: parênteses fechado ) encontrado no Body, Path, Query String ou Cookies |
| 1013 | Possível ataque de SQL Injection ou XSS: apóstrofe ' encontrado no Body, Path, Query String ou Cookies |
| 1015 | Possível ataque de SQL Injection: vírgula , encontrada no Body, Path, Query String ou Cookies |
| 1016 | Possível ataque de SQL Injection: comentário MySQL # encontrado no Body, Path, Query String ou Cookies |
| 1017 | Possível ataque de SQL Injection: sinal de arroba duplo @@ encontrado no Body, Path, Query String ou Cookies |
| 1100 | Possível ataque de RFI: esquema http:// encontrado no Body, Query String ou Cookies |
| 1101 | Possível ataque de RFI: esquema https:// encontrado no Body, Query String ou Cookies |
| 1102 | Possível ataque de RFI: esquema ftp:// encontrado no Body, Query String ou Cookies |
| 1103 | Possível ataque de RFI: esquema php:// encontrado no Body, Query String ou Cookies |
| 1104 | Possível ataque de RFI: esquema sftp:// encontrado no Body, Query String ou Cookies |
| 1105 | Possível ataque de RFI: esquema zlib:// encontrado no Body, Query String ou Cookies |
| 1106 | Possível ataque de RFI: esquema data:// encontrado no Body, Query String ou Cookies |
| 1107 | Possível ataque de RFI: esquema glob:// encontrado no Body, Query String ou Cookies |
| 1108 | Possível ataque de RFI: esquema phar:// encontrado no Body, Query String ou Cookies |
| 1109 | Possível ataque de RFI: esquema file:// encontrado no Body, Query String ou Cookies |
| 1110 | Possível ataque de RFI: esquema gopher:// encontrado no Body, Query String ou Cookies |
| 1198 | Possível ataque de RCE: validação com log4j (Log4Shell) no HEADERS_var |
| 1199 | Possível ataque de RCE: validação com log4j (Log4Shell) no Body, Path, Query String ou Cookies |
| 1200 | Possível ataque de Directory Traversal: ponto duplo .. encontrado no Body, Path, Query String ou Cookies |
| 1202 | Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório /etc/passwd encontrada no Body, Path, Query String ou Cookies |
| 1203 | Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório com caminho c:\\ encontrado no Body, Path, Query String ou Cookies |
| 1204 | Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório cmd.exe encontrado no Body, Path, Query String ou Cookies |
| 1205 | Possível ataque de Directory Traversal: backslash \ encontrado no Body, Path, Query String ou Cookies |
| 1206 | Possível ataque de Directory Traversal: slash / encontrado no Body, Path, Query String ou Cookies |
| 1207 | Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório /..;/) encontrado no Body, Path, Query String ou Cookies |
| 1208 | Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório /.;/) encontrado no Body, Path, Query String ou Cookies |
| 1209 | Possível ataque de Directory Traversal: tentativa evidente de travessia de diretório /./) encontrado no Body, Path, Query String ou Cookies |
| 1302 | Possível ataque de XSS: tag aberta HTML < encontrada no Body, Path, Query String ou Cookies |
| 1303 | Possível ataque de XSS: tag fechada HTML > encontrada no Body, Path, Query String ou Cookies |
| 1310 | Possível ataque de XSS: colchete aberto [ encontrado no Body, Path, Query String ou Cookies |
| 1311 | Possível ataque de XSS: colchete fechado ] encontrado no Body, Path, Query String ou Cookies |
| 1312 | Possível ataque de XSS: caractere til ~ encontrado no Body, Path, Query String ou Cookies |
| 1314 | Possível ataque de XSS: caractere ` (backtick) encontrado no Body, Path, Query String ou Cookies |
| 1315 | Possível ataque de XSS: codificação dupla %2|3 encontrada no Body, Path, Query String ou Cookies |
| 1400 | Possível truque para evitar a proteção: codificação UTF7/8 &# encontrado no Body, Path, Query String ou Cookies |
| 1401 | Possível truque para evitar a proteção: codificação MS %U encontrada no Body, Path, Query String ou Cookies |
| 1402 | Possível truque para evitar a proteção: caracteres codificados %20-%3F encontrados no Body, Path, Query String ou Cookies |
| 1500 | Possible File Upload attempt: asp/php ou .ph, .asp, .ht encontrados no nome de um arquivo em um POST de múltiplas partes contendo um arquivo |
:::caution[atenção] Requisições que caírem nas regras do 1 até 18 serão bloqueadas, mesmo que o WAF esteja operando em modo learning. Veja na documentação do Rules Engine para Edge Firewall a definição dos modos learning/blocking. Veja no guia como verificar o modo do seu WAF. :::
<iframe width="560" height="315" src="https://www.youtube.com/embed/uhpoeBXLvxk?si=eb8Jx_LRaUq1FBlh" loading="lazy" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe>import ContributorList from '~/components/ContributorList.astro'
Contribuidores Contributor