FortiWEB 根據特定 URL 限制訪問
您可以設定 URL 存取規則,根據 HTTP 請求的名稱和 URL 以及請求的來源 定義 FortiWeb 接受或拒絕哪些 HTTP 請求。Host:
例如,只有當用戶端的來源 IP 位址是您的私人管理網路上的管理員電腦時, 才應允許存取您的 Web 應用程式的管理面板。來自未知位置的未經身份驗證 的訪問會增加受到損害的風險。最佳實踐表明應盡量降低此類風險。
URL 存取規則檢查 URL 路徑和參數,不支援查詢字串檢查。此外,它們還根 據一些其他規則進行評估。因此,如果違反了序列中先前執行的規則之一,則 允許的存取仍然會被拒絕。
您可以使用 SNMP traps & queries 在強制執行 URL access rule 時通知您。
配置 URL 存取參數
1. 前往 Web Protection > Access > URL Access,然後選擇 URL Access
parameter 標籤。
2. 按一下“Create New”。
3. 輸入參數規則的名稱。
4. 按一下“OK”。
5. 按一下“Create New”以新增參數。
6. 配置以下設定:
|
|
輸入一個可以在配置的其他部分引用的唯一名稱。最大長度 |
|
Name |
|
|
為 63 個字元。 |
|
|
|
選擇參數名稱欄位是否必須包含:
o 簡單字串-該欄位是名稱必須完全符合的字串。
Name Type
o 正規表示式-此欄位是定義一組符合名稱的正規表示
式。
|
|
根據您在 Type 中選擇的內容,輸入以下任一項: |
|
o 為了符合規則,HTTP 請求必須包含的文字名稱。 |
|
|
o 正規表示式。 |
|
|
Name |
|
|
|
|
|
若要建立和測試正規表示式,請按一下>>(test)圖示。這 |
|
|
將打開 Regular Expression Validator,您可以在其中微調表達 |
|
|
式。 |
Use Type Check
如果啟用了 Use Type Check,參數值必須與指定的 Data Type 相符
|
Argument |
|
|
選擇參數值的類型。 |
|
|
Type |
|
|
|
如果在 Argument Type 中選擇了 Data Type,則需要選擇特定
Data Type
的資料類型。
配置 URL 訪問規則
1. 前往 Web 保護 > 訪問 > URL 訪問,然後選擇 URL Access Rule 標籤。
2. 按一下“Create New”。
3. 配置以下設定:
輸入一個可以在配置的其他部分引用的唯一名稱。最大長度為
Name
63 個字元。
|
Host |
啟用以要求 Host:HTTP 請求的欄位與受保護的主機名稱條目 |
|
Status |
匹配,以便匹配 URL 存取規則。也配置 Host。 |
選擇 HTTP 請求的欄位必須位於哪個受保護的主機名稱條目 (Web 主機名稱或 IP 位址)中 Host:才能與 URL 存取規則
Host
相符。
僅當啟用 Host Status 時此選項才可用。
|
|
選擇 FortiWeb 偵測到違反規則時採取的措施。支援的選項各不 |
|
相同(每個特定規則的描述中列出了可用的選項),但可能包 |
|
|
括: |
|
|
Action |
|
|
|
o Alert & Deny-阻止請求(或重設連線)並產生警報電子 |
|
郵件和/或日誌訊息。 |
|
|
您可以自訂 FortiWeb 使用 HTTP 狀態碼傳回給客戶端的 |
|
網頁。有關詳細信息。 |
|
|
o Deny (no log) ——阻止請求(或重設連線)。 |
|
|
o Pass— 允許請求。不產生警報和/或日誌訊息。 |
|
|
o Continue-透過評估 web protection profile 中定義的任 |
|
|
何後續規則來繼續。如果請求不違反任何其他規則, |
|
|
FortiWeb 會允許該請求。如果單一請求違反多條規則, |
|
|
則會產生多個攻擊日誌訊息。 |
|
|
預設值為 Pass。 |
|
|
注意:如果啟用 Monitor Mode,則此設定將被忽略。 |
|
|
注意:僅當啟用和設定時才會發生日誌記錄和/或警報電子郵 |
|
|
件。。 |
當規則違規行為記錄在攻擊日誌中時,每個日誌訊息都包含一 個嚴重性等級(severity_level)欄位。選擇 FortiWeb 設備在 記錄違反規則的行為時將使用的嚴重性等級:
Informative
Severity
Low
Medium
High
預設值為 Low
|
Trigger |
選擇 FortiWeb 設備在記錄和/或發送有關違反規則的警報電子郵 |
|
Action |
件時將使用的觸發器(如果有) 。。 |
4. 按一下“OK”。
5. 按一下「Create New
可將新的 URL access conditio 項目新增至集合中。
6. 配置以下設定:
|
|
鍵入 URL access rule 中單一規則的索引號,或保留該欄位的 |
|
ID |
預設值自動,以讓 FortiWeb 裝置自動指派下一個可用的索 |
|
|
引號。 |
Source Address
啟用以新增用戶端的來源 IP 位址作為符合 URL access rule 的條件。也配置來源位址類型和來源網域。
|
|
選擇 FortiWeb 如何確定符合的客戶端來源 IP: |
|
o IPv4 / IPv6 / IP Range— 單一 IP 位址或位址範 |
|
|
圍。。 |
|
|
o IP Resolved by Specified Domain — FortiWeb 透過對 |
|
|
Source |
|
|
指定網域執行 DNS 查找來決定要符合的來源 IP。 |
|
|
Address Type |
|
|
o Source Domain-為了確定匹配,FortiWeb 會對用戶 |
|
|
|
|
|
端來源 IP 執行反向 DNS 查找以確定其對應的網 |
|
|
域,然後將該網域與 Source Domain 的值進行比較。 |
|
|
還要配置 Source Domain Type 和 Source Domain.。 |
為了避免進程長時間掛起,您可以設定此選項來限制 FortiWeb
IP 位址執行反向 DNS 查找的時間(以毫秒為
Reverse DNS Timeout
單位)。
僅當啟用「Source Address」且「Source Address Type
為 「Source Domain
時,此選項才可用。
|
|
輸入以下值之一: |
|
o 用戶端來源 IP 必須相符的單一 IP 位址,例如受信 |
|
|
任的專用網路 IP 位址(例如管理員的電腦 |
|
|
IPv4/IPv6 / IP |
|
|
192.0.2.109)。 |
|
|
Range |
|
|
o 地址範圍(例如, 192.0.2.1-192.0.2.255 或 |
|
|
|
|
|
10:200::10:1-10:200:10:100)。 |
|
|
僅當來源位址類型為 IPv4/IPv6/IP Range 時可用。 |
選擇 FortiWeb 從 retrieves from the DNS lookup 指定的網域的 DNS 查找中檢索的 IP 位址類型。
Type
僅當來源位址類型為「IP Resolved by Specified Domain
時 可用。
輸入域名,用於在 DNS 查找後匹配客戶端來源 IP。
IP Resolved
by Specified
僅當來源位址類型為「IP Resolved by Specified Domain
時
Domain
可用。
定 Source Domain 欄位是否包含 Simple String(簡單字
Source Domain Type
串)或用於符合多個 URL 的 Regular Expression(正規表 示式)。
輸入完正規表示式後,按一下>>(測試)圖示。這將打開 正規表示式驗證器窗口,您可以在其中微調表達式。有關 詳細信息。
僅當「來源位址類型」為「來源域」時可用。
|
|
指定要匹配的網域。 |
|
根據來源域類型的值,輸入以下之一: |
|
|
Source |
|
|
Domain |
o the literal domain(文字域) |
|
|
o a regular expression.(正規表示式)。 |
|
僅當「來源位址類型」為「來源域」時可用。 |
選擇 URL Pattern 欄位是否包含文字 URL(簡單字串)或用
URL Type
於符合多個 URL 的正規表示式(正規表示式)。
|
|
根據您在 URL Pattern 中選擇的內容,輸入以下任一項: |
|
o 文字 URL,例如/folder1/index.htmHTTP 請求必 |
|
|
須包含才能符合規則,或使用通配符來匹配多個 |
|
|
URL,例如/folder1/*或/folder1/*/index.htm。 |
|
|
URL 必須以斜線 ( /) 開頭。 |
|
|
o 正規表示式。 |
|
|
例如,如果 URL 是:/send/index1.html |
|
|
當名稱介於 index1.html 和 index9.html 之間時,匹配準確 |
|
|
的完整 URL:^/send/index[0-9]\.html |
|
|
URL Pattern |
|
|
|
|
|
無論如何都要匹配根路徑:^/send/.* |
|
|
|
|
|
此模式不需要斜線 ( / )。但是,它至少必須匹配以斜杠開 |
|
|
頭的 URL,例如/admin.cfm。 |
|
|
輸入完正規表示式後,按一下>>(test)圖示。這將打開 |
|
|
Regular Expression Validator 窗口,您可以在其中微調表達 |
|
|
式。 |
|
|
請勿包含 domain name,例如,該域名在 URL access rule |
|
的 Host 下拉清單 www.example.com中單獨配置。 |
|
|
大多數 web protection modules(包括 URL Access)不會偵 |
|
|
測 RPC 流量,因此如果您在 URL Access policy 中設定與 |
|
|
RPC 流量相符的 URL,它將不會生效。如果您想限制 |
|
|
RPC 流量,請使用 HTTP Protocol Constraints。 |
URL Access Parameter
在 URL Access Parameter 標籤中選擇您建立的 parameter rule。
|
Use HTTP |
|
|
Method |
啟用後,只有具有指定 HTTP 方法的請求才會符合。 |
|
Check |
|
Only Method
選擇要匹配的 HTTP 方法。
|
Use HTTP |
|
|
Protocol |
啟用後,只有具有指定 HTTP 協定的請求才會符合。 |
|
Check |
|
Only Protocol
選擇要匹配的 HTTP 協定。
|
|
選擇當 HTTP 請求同時符合正規表示式(或文字字串)和 |
|
Meet this |
客戶端的來源 IP 位址時, |
|
condition if: |
或當 HTTP 請求不符合正規表示式(或文字字串)和/或用 |
|
|
戶端的來源 IP 位址時,是否符合存取條件。 |
7. 按一下“OK”。
8. 對要新增至 URL access rule 的每個單獨條件重複上述步驟。
9. 前往 Web Protection > Access > URL Access。
10. 按一下“Create New”。
11. 在 Name 中,鍵入可由設定的其他部分引用的唯一名稱。最大長度為 63
個字元。
12. 按一下“OK”。
13. 按一下「Create New
可將項目新增。
14. 從 Access Rule Name 下拉清單中,選擇要包含在政策中的 URL Access
Rule 的名稱。
若要查看或變更與規則相關的信息,請選擇 Detail 資訊連結。出現 URL Access Rule 對話框。使用瀏覽器的「Back
按鈕返回。
15. 按一下“OK”。
16. 對要新增至 URL access policy 的每個單獨的規則重複上述步驟。 清單頂部的規則優先於清單底部的規則。使用移動來改變規則的順序。
ID 值不影響規則優先權。
17. 若要套用 URL access policy,請在 inline 或 Offline Protection profile 中選
擇它。
當此功能偵測到可疑 HTTP 請求時, 會包含攻擊日誌訊息。URL Access Violation
下載本文PDF檔Download FortiWEB根據特定 URL 限制訪問
[ add comment ] | permalink | print article |
( 2.9 / 18 )
Random Entry