Umstellung auf benutzerdefinierte WAF-Regeln
CIS hat vorhandene Firewall-Regeln für die Verwendung der Ruleset Engine aktualisiert, wo sie jetzt als benutzerdefinierte Regeln bezeichnet werden. Mit benutzerdefinierten Regeln erhalten Benutzer mit einigen zusätzlichen Funktionen ebenso viel Schutz. Im Dashboard von CIS finden Sie diese Regeln weiterhin auf der Seite "Sicherheit" > Registerkarte "Firewall-Regeln ".
Wenn Sie noch nicht zu benutzerdefinierten WAF-Regeln migriert sind, könnte eine ungültige Konfiguration vorliegen, die die Migration verhindert. Wenden Sie sich in diesem Fall an Ihr Kundenteam, um Hilfe bei der Migration zu benutzerdefinierten WAF-Regeln zu erhalten.
Hauptunterschiede zwischen Firewall-Regeln und benutzerdefinierten Regeln
Die Hauptunterschiede zwischen Firewall-Regeln und benutzerdefinierten WAF-Regeln sind folgende:
- Verbesserte Reaktion auf Block-Aktion
- Unterschiedliche Fehlerseite für blockierte Anfragen
- Neue Aktion "Überspringen" ersetzt die beiden Aktionen "Zulassen" und "Umgehen"
- Benutzerdefinierte Regeln werden in der folgenden Reihenfolge ausgewertet
- Protokolle und Ereignisse
- Neue API
Verbesserte Reaktion auf Block-Aktion
In benutzerdefinierten Regeln können Sie die Reaktion der Aktion "Blockieren" anpassen.
Die Standardantwort des Blocks ist eine CIS-Standard-HTML-Seite. Wenn Sie eine benutzerdefinierte Antwort für Blockierungsaktionen senden müssen, konfigurieren Sie die benutzerdefinierte Regel so, dass eine feste Antwort mit einem benutzerdefinierten Antwortcode (standardmäßig 403) und einem benutzerdefinierten Textkörper (HTML, JSON, XML oder Nur-Text) zurückgegeben wird.
Um eine benutzerdefinierte Antwort für eine einzelne Regel zu definieren, gehen Sie zu "Sicherheit" > "WAF" > "Benutzerdefinierte Regeln ", bearbeiten Sie die benutzerdefinierte Regel und vervollständigen Sie die blockbezogenen Optionen.
Benutzerdefinierte Blockantwortkonfigurationen werden von der Firewall-Regeln-API nicht zurückgegeben. Verwenden Sie die Rulesets-API, um diese neue Funktion zu verwalten.
Unterschiedliche Fehlerseite für blockierte Anfragen
Anfragen, die durch eine Firewall-Regel mit der Aktion „Blockieren“ blockiert werden, erhalten als Antwort den Fehlercode „ CIS 1020. Benutzer von CIS können diese Fehlerseite unter „Benutzerdefinierte Seiten > 1000 Fehler der Klasse“ anpassen.
Anfragen, die durch eine benutzerdefinierte WAF-Regel blockiert werden, erhalten eine andere Antwort: die WAF-Blockierungsantwort. Um die Standardantwort des Blocks anzupassen, haben Sie folgende Möglichkeiten:
- Definieren Sie eine benutzerdefinierte WAF-Blockantwort für Ihre gesamte Zone unter "Benutzerdefinierte Seiten" > "WAF-Block ". Diese benutzerdefinierte Seite hat immer den Inhaltstyp HTML.
- Definieren Sie eine benutzerdefinierte Antwort für Anfragen, die durch eine bestimmte benutzerdefinierte WAF-Regel blockiert werden. Diese benutzerdefinierte Antwort unterstützt neben HTML auch andere Inhaltstypen.
Wenn Sie Ihre 1xxx-Fehlerseite in "Benutzerdefinierte Seiten" für Anfragen, die durch Firewall-Regeln blockiert werden, angepasst haben, müssen Sie eine neue Antwortseite für blockierte Anfragen erstellen, indem Sie eine der oben genannten Methoden verwenden.
Neue Aktion "Überspringen" ersetzt die beiden Aktionen "Zulassen" und "Umgehen"
Firewall-Regeln unterstützten die Aktionen "Zulassen" und "Umgehen", die oft zusammen verwendet wurden. Diese Maßnahmen wurden üblicherweise für die Bearbeitung bekannter legitimer Anfragen verwendet – beispielsweise Anfragen, die von vertrauenswürdigen IP-Adressen kamen.
Wenn eine Anfrage mit "Zulassen" beantwortet wird, werden alle verbleibenden Firewall-Regeln nicht ausgewertet, sodass die Anfrage effektiv an das nächste Sicherheitsprodukt weitergeleitet werden kann. Die Aktion Bypass wurde entwickelt, um festzulegen, welche Sicherheitsprodukte (wie WAF-verwaltete Regeln, Regeln zur Ratenbegrenzung und User Agent Blocking) bei der Anfrage, die die Aktion auslöst, nicht ausgeführt werden sollen.
Wenn Sie mit Firewall-Regeln verhindern möchten, dass alle Sicherheitsprodukte für eine bestimmte Anfrage ausgeführt werden, erstellen Sie zwei Regeln:
- Eine Regel mit Umgehungsaktion (Auswahl aller Sicherheitsprodukte).
- Eine Regel mit "Aktion zulassen" (um die Ausführung anderer Firewall-Regeln zu stoppen).
Die Anforderung, zwei Regeln zu haben, um dieses häufige Szenario zu behandeln, gilt nicht mehr für benutzerdefinierte WAF-Regeln. Verwenden Sie nun die Aktion "Überspringen", die die Aktionen "Zulassen" und "Umgehen" kombiniert. Die Aktion "Überspringen" ersetzt die Aktionen "Zulassen" und "Umgehen", die in benutzerdefinierten WAF-Regeln nicht unterstützt werden.
Mit der Aktion "Überspringen" können Sie Folgendes tun:
- Alle verbleibenden benutzerdefinierten WAF-Regeln (entspricht der Aktion "Zulassen") werden nicht mehr ausgeführt
- Vermeiden Sie die Ausführung anderer Sicherheitsprodukte (entspricht der Aktion "Umgehen")
- Eine Kombination aus beidem.
Sie können auch auswählen, ob Sie Ereignisse, die der benutzerdefinierten Regel entsprechen, mit der Aktion "Überspringen" protokollieren möchten oder nicht. Dies ist besonders nützlich, wenn ein positives Sicherheitsmodell erstellt wird, um die Protokollierung großer Mengen legitimen Datenverkehrs zu vermeiden.
Die Firewall-Regeln-API unterstützt die Aktion "Überspringen" nicht. Wenn Sie eine benutzerdefinierte Regel mit der Aktion "Überspringen" erstellen, wird diese in der Firewall-Regeln-API in "Zulassen" und "Umgehen" übersetzt. Verwenden Sie die Rulesets-API, um die neue Funktion "Aktion überspringen" vollständig zu nutzen.
Benutzerdefinierte Regeln werden in der folgenden Reihenfolge ausgewertet
Bei der Verwendung der Prioritätsreihenfolge hatten die Aktionen der Firewall-Regeln eine bestimmte Rangfolge. Im Gegensatz dazu haben benutzerdefinierte WAF-Regeln keine solche Reihenfolge. Benutzerdefinierte Regeln werden immer in der Reihenfolge ihrer Erstellung ausgewertet, und einige Aktionen, wie z. B. "Blockieren", stoppen die Auswertung anderer Regeln.
Nehmen wir zum Beispiel an, Sie verwenden die Prioritätsreihenfolge und haben die folgenden Firewall-Regeln mit derselben Priorität, die beide auf eine eingehende Anfrage zutreffen:
- Firewall-Regel Nr. 1 – Priorität: 2 / Aktion: Blockieren
- Firewall-Regel Nr. 2 – Priorität: 2 / Aktion: Zulassen
Die Anfrage wird zugelassen, da die Aktion "Zulassen" in den Firewall-Regeln Vorrang vor der Aktion "Blockieren" hat.
Wenn Sie dagegen zwei benutzerdefinierte WAF-Regeln erstellen, bei denen beide Regeln mit einer eingehenden Anfrage übereinstimmen:
- Benutzerdefinierte Regel Nr. 1 – Aktion: Blockieren
- Benutzerdefinierte Regel Nr. 2 – Aktion: Überspringen (so konfiguriert, dass alle verbleibenden benutzerdefinierten Regeln übersprungen werden)
Die Anfrage wird blockiert, weil die benutzerdefinierten WAF-Regeln der Reihe nach ausgewertet werden und die Aktion "Blockieren" die Auswertung anderer Regeln stoppt.
Für die benutzerdefinierten WAF-Regeln, die aus Ihren bestehenden Firewall-Regeln konvertiert wurden, behält CIS Ihre aktuelle Ausführungsreihenfolge bei.
Protokolle und Ereignisse
Ereignisse, die von benutzerdefinierten WAF-Regeln protokolliert werden, sind unter "Sicherheit" > "Ereignisse" verfügbar, mit Custom rules als Quelle. Weitere Informationen finden Sie unter
"Verwendung der CIS-Sicherheitsereignisfunktion ".
Sie können immer noch Ereignisse finden, die durch Firewall-Regeln auf der Seite "Sicherheitsereignisse" generiert werden, wenn Sie einen Zeitraum auswählen, der die Tage umfasst, an denen der Übergang zu benutzerdefinierten WAF-Regeln stattgefunden hat. Ebenso kann es vorkommen, dass Sie während der Übergangszeit in derselben Ansicht noch Ereignisse mit den Aktionen "Überspringen" und "Zulassen" finden.
Neue API
Die bevorzugte API für die Verwaltung benutzerdefinierter WAF-Regeln ist die Rulesets-API. Die Rulesets-API wird in allen aktuellen CIS-Sicherheitsprodukten verwendet, um eine einheitliche Benutzererfahrung bei der Interaktion mit der IBM-API zu gewährleisten. Weitere Informationen zur Migration zur Rulesets-API finden Sie unter Relevante Änderungen für API-Benutzer.
Die Firewall-Regeln-API und die Filter-API werden noch bis zum 30. Juli 2025 funktionieren. Es wird eine einzige Liste mit Regeln für Firewall-Regeln und benutzerdefinierte Regeln geben, und diese Liste enthält benutzerdefinierte WAF-Regeln. Dank eines internen Konvertierungsprozesses geben die Firewall-Regeln API und die Filter API Firewall-Regeln/Filter zurück, die aus diesen benutzerdefinierten WAF-Regeln konvertiert wurden.
Relevante Änderungen für Benutzer des Dashboards
Die Registerkarte Firewall-Regeln ist weiterhin vorhanden und funktioniert wie erwartet. Der Hauptunterschied liegt in den im Hintergrund verwendeten APIs.
Relevante Änderungen für API-Benutzer
Die Firewall-Regeln-API und die zugehörige Filter-API sind jetzt veraltet. Nach dem 30. Juli 2025 werden diese API nicht mehr unterstützt. Migrieren Sie alle Automatisierungen, die auf der Firewall Rules API oder Filters API basieren, vor diesem Datum auf die Rulesets API, um Probleme zu vermeiden. Die Regel-IDs unterscheiden sich zwischen Firewall-Regeln und benutzerdefinierten Regeln, was sich auf automatisierte Prozesse auswirken kann, die mit bestimmten Regel-IDs arbeiten.
Bis zum Auslaufdatum sind alle drei APIs verfügbar (Firewall Rules API, Filters API und Rulesets API). CIS wandelt Ihre Firewall Rules API- und Filters API-Aufrufe intern in die entsprechenden Rulesets API-Aufrufe um. Es wird eine einzige Liste von Regeln für Firewall-Regeln und benutzerdefinierte WAF-Regeln geben.
Einige neue Funktionen von benutzerdefinierten Regeln, wie z. B. benutzerdefinierte Antworten für blockierte Anfragen und die Aktion Überspringen, werden von der alten Firewall-Regeln-API nicht unterstützt. Um die Vorteile dieser Funktionen zu nutzen, empfiehlt CIS die Verwendung der Seite für benutzerdefinierte WAF-Regeln im CIS Dashboard oder der Rulesets API.
Unter Über benutzerdefinierte WAF-Regeln finden Sie Beispiele für die Verwaltung benutzerdefinierter WAF-Regeln, die die Regelsatz-API verwenden.