IBM Cloud Docs
设置和调整 CIS WAF 安全性

设置和调整 CIS WAF 安全性

Cloud Internet Services (CIS) 检查传入的网络和应用程序接口流量,并使用预定义的规则集阻止不需要的请求。 本主题将指导您完成配置 Web 应用程序防火墙 (WAF) 的初始步骤,并快速启用对最常见 Web 攻击的防护。

请注意:在执行_渗透测试(pentest)_ 时,建议从限制性最强的 WAF 配置开始,以评估 CIS 的全部防御能力。 为此,请配置以下设置:

  • 启用所有托管规则。

  • 创建自定义规则,阻止攻击得分小于或等于 20 的任何请求。

    表情预览:(cf.waf.score le 20)

测试后,您可以调整此配置,以适应您的应用程序的预期行为并减少误报。

准备工作

在测试 WAF 功能之前,请确保在 IBM Cloud 账户中设置了 CIS 实例,并将域名添加到 CIS。

配置 WAF

请按照以下高级步骤为您的区域配置 WAF:

  1. 部署 CIS 受管规则集。

    CIS 管理规则集 利用基于签名的检测来识别常见攻击,从而防范常见漏洞和暴露(CVE)以及攻击载体,重点是最大限度地减少误报。

    CIS 在紧急发布期间更新这些规则集,以应对备受瞩目的零日威胁。

    1. 在 IBM Cloud 控制台中,打开导航菜单图标导航菜单图标,然后单击资源列表并展开安全

    2. 单击 CIS 实例名称。

    3. 导航至“安全”>"WAF ",并确保启用了 CIS Managed Ruleset Status 切换。

      默认情况下,会启用一个规则子集,以平衡保护和减少误报。 您可以根据应用程序的堆栈情况查看并启用其他规则。

      在特殊情况下,启用受管规则集可能会导致一些误报。 误报是指 WAF 无意中减轻了合法请求的影响。 有关处理误报的信息,请参阅 处理托管规则中的误报

      对于五重测试,建议使用以下设置启用所有规则:

      • 规则集行动:阻止
      • 规则集状态:已启用(启用规则集中的所有规则)

      有关详细信息,请参阅 使用 WAF 管理规则

  2. 根据 WAF 攻击得分创建自定义规则。

    WAF 攻击得分仅适用于标准计划客户。

    WAF 攻击得分是一个机器学习层,是对 CIS 的托管规则集的补充,可针对 SQL 注入 (SQLi)、跨站脚本 (XSS) 和许多远程代码执行 (RCE) 攻击提供额外保护。 它有助于识别规则绕过和潜在的新的、未被发现的攻击。

    使用攻击得分字段 创建自定义规则

    攻击得分字段是一个从 1 (可能是恶意的)到 99 (可能是干净的)的数字,用于划分传入请求是否恶意的可能性。 允许您在新的攻击技术公开之前对其进行检测。

    • 当收到的请求匹配时:

      检测未经验证的低分僵尸请求的规则条件
      字段 运算符
      WAF 攻击得分 小于或等于 20

      表达预览:(cf.waf.score le 20)

    • 选择行动:阻止

      如果您使用的是 CIS Standard、Standard Next 或免费试用计划,您可以使用 WAF 攻击得分类别字段创建自定义规则。 例如,使用以下规则表达式:WAF Attack Score Class equals Attack.

  3. 根据机器人得分创建自定义规则。

    Bot Score 功能仅适用于使用 Bot Management 的 CIS Enterprise Premier 客户。 标准 Next 计划和企业高级/使用计划可以使用超级机器人战斗模式,但请注意,目前没有用户界面可供配置。

    使用 Bot Score 和 Verified Bot 字段创建自定义规则:

    机器人得分范围从 1–99. 得分低于 30 通常表示自动化。 经过验证的机器人字段可识别身份和目的透明的机器人。

    • 当收到的请求匹配时:

      对可疑僵尸流量应用托管挑战的匹配条件
      字段 运算符 逻辑
      机器人分数 小于 20
      已验证的机器人 等于 关闭

    • 选择行动:管理挑战

      有关可在表达式中使用的机器人相关字段的更多信息,请参阅 机器人管理字段

      有了这些保护措施,您的 WAF 设置就能针对已知和未知威胁提供强大的缓解功能,同时最大限度地减少误报。

  4. 可选:部署 CIS OWASP 核心规则集

    配置 CIS Managed Ruleset 和攻击得分后,还可以部署 CIS OWASP Core Ruleset。 该托管规则集是 CIS 对 OWASP ModSecurity 核心规则集的实施。 通过检测 SQLi 和 XSS 等常见攻击载体,其攻击覆盖范围与 CIS 管理的规则集明显重叠。

    该规则集容易产生误报,与 CIS 管理规则和 WAF 攻击得分相结合,带来的额外好处有限。 如果决定部署此托管规则集,则必须根据流量监控和调整其设置,以防止误报。

    从 CIS 控制面板,转到安全 > WAF,确保启用 CIS OWASP 核心规则集状态切换。

    这将以默认配置部署规则集:偏执级别 = PL1分数阈值 = Medium (40+)

    规则集配置:与基于签名的 CIS 管理规则集不同,OWASP 核心规则集是基于分数的。 您可以选择一定的偏执级别(级别从 PL1 到 PL4 不等,其中 PL1 是最低级别),这样就可以使用越来越多的规则。 您还可以选择分数阈值,该阈值决定何时执行配置的操作。 低偏执度和高分数阈值通常会导致较少的误报。 有关如何评估 OWASP 核心规则集的示例,请参阅 OWASP 评估示例

    两种常见的配置策略:

    • 严格第一:从偏执级别 = PL4分数阈值 = High - 25 and higher 开始。降低分数阈值和偏执级别,直到输入流量的误报/真报率达到良好水平。
    • 首先是放任型:从更放任的配置开始 (偏执级别 = PL1评分阈值 = Low - 60 and higher ),然后增加这两个参数来调整保护,尽量减少误报。

    有关配置 OWASP 核心规则集的更多信息,请参阅 使用字段、函数和表达式

  5. 审查安全仪表板中的流量。

    配置 WAF 后,请监控您的设置对传入流量的影响:

    • 使用 CIS 指标 探索流量模式,包括未被 WAF 规则阻止的流量。 流量检测提供的所有数据均可用(例如,WAF 攻击得分和僵尸得分)。
    • 使用“安全事件”查看已缓解的流量。
    • 企业计划可使用 CIS Logpush 访问 HTTP 请求和安全事件。

规则建议

CIS 不建议仅根据 WAF 攻击得分来阻止低于 的所有值的流量,因为 50_Likely 攻击_范围(得分在 和 之间)往往会出现误报。21 50 不过,如果您选择根据此分数来阻止流量,可以考虑采用以下方法之一:

  • 在表达中使用更严格的 WAF 攻击得分值。 例如,阻止 WAF 攻击得分低于 20 或低于 15 的流量(您可能需要调整具体阈值)。
  • 在阻止传入流量时,将更高的 WAF 攻击得分阈值与附加过滤器相结合。 例如,在表达式中包含对特定 URI 路径的检查,或使用机器人评分作为标准的一部分。

后续步骤

WAF 配置完成后,您将拥有一个坚实的保护基线,可防范常见和高级网络威胁。

为了进一步加强保护,可以考虑