Partager via

Configurer de règles personnalisées Web Application Firewall

  • Article

Les règles personnalisées du Pare-feu d’application Web vous permettent de définir vos propres règles pour bloquer ou autoriser des requêtes spécifiques en fonction de divers critères, tels que le géofiltrage, l’adresse IP source et l’URI de la requête. Vous pouvez utiliser des règles personnalisées pour améliorer la sécurité de vos applications Web et vous aider à optimiser les performances de vos applications Web en filtrant le trafic indésirable ou en réduisant les faux positifs.

Configurez les règles personnalisées en accédant à l’espace de travail Sécurité.

Conditions préalables

  • Vous devez être un administrateur pour configurer des règles personnalisées.
  • Pare-feu d’application Web doit être activé pour le site.

Créer des règles personnalisées

  1. Sélectionnez + Ajouter une règle.

  2. Entrer le nom de la règle.

  3. Sélectionnez le type de règle.

    Vous pouvez définir la règle personnalisée en sélectionnant Correspondance ou Limite de taux.

    • Correspondance : autorise/bloque la demande en fonction du type de règle défini à l’étape suivante.
    • Limite de taux : autorise/bloque la limite du nombre de requêtes et limite les requêtes dépassant la limite du seuil.

    Vous pouvez configurer la limite du seuil entre 1 et 5 minutes.

  4. Sélectionner le type de match.

    Pour créer une règle personnalisée, choisissez l’une des options dans le menu déroulant Type de correspondance :

    • Géolocalisation : autorise ou bloque les demandes en fonction de leur origine géographique. Utile pour empêcher les attaques provenant de régions ou de pays spécifiques, ou pour appliquer des restrictions de contenu régional.

    • Adresse IP : autorise ou bloque les requêtes en fonction de leur adresse IP source. Utile pour se protéger contre des attaquants ou des robots spécifiques, ou pour restreindre l’accès aux utilisateurs autorisés.

    • URI de la requête : autorise ou bloque les requêtes en fonction du chemin ou de la chaîne de requête demandée. Utile pour empêcher l’accès aux zones sensibles ou restreintes du site, ou pour faire respecter des règles spécifiques pour différentes sections.

    En fonction du type de correspondance sélectionné, les options de configuration varient. Mettez à jour les paramètres appropriés dans le champ qui apparaît après avoir sélectionné le type de correspondance.

  5. Sélectionnez Nouvelle match.

    L’option de variable de correspondance est disponible en fonction de l’option sélectionnée dans le type de correspondance.

    Deux options sont disponibles : RemoteAddr ou SocketAddr. Reportez-vous à Variable de correspondance ci-dessous pour plus de détails.

  6. Sélectionnez les paramètres de trafic et ajoutez de nouvelles règles, si nécessaire.

    Les paramètres de trafic bloquent ou autorisent la demande en fonction des règles que vous configurez.

  7. Choisissez Enregistrer.

Chaque requête adressée à votre site est évaluée par rapport aux configurations de pare-feu en fonction de leur ordre de priorité. Vous pouvez ajuster l’ordre d’exécution des règles en augmentant ou en diminuant leur priorité. Passez la souris sur chaque règle et sélectionnez les points de suspension (…) pour modifier les paramètres de priorité.

Faire correspondre la variable

Lorsqu’un utilisateur envoie des requêtes au site Power Pages, ces requêtes peuvent provenir directement de l’emplacement ou de l’adresse IP de l’utilisateur ou d’un serveur proxy.

  • RemoteAddr : ce champ indique l’adresse distante, identifiant les demandes en fonction de l’emplacement ou de l’adresse IP du demandeur. Il représente l’adresse IP du client d’origine, provenant soit de la connexion réseau, soit généralement de l’en-tête de requête X-Forwarded-For si l’utilisateur se trouve derrière un proxy.

  • SocketAddr : ce champ indique l’adresse du socket, identifiant les requêtes basées sur une connexion directe au Edge du pare-feu. Si le client a utilisé un proxy HTTP ou un équilibreur de charge pour envoyer la requête, l’adresse du socket est l’adresse IP du proxy ou de l’équilibreur de charge.

Important

Une fois la règle créée et enregistrée, la propagation des modifications à tous les emplacements périphériques dans le monde peut prendre jusqu’à une heure.