Como criar um WAF rule set

1. Acesse o Azion Console > WAF Rules.
2. Clique no botão + WAF Rule.
3. No campo Name, dê um nome único e fácil de lembrar para o seu conjunto de regras WAF. Neste caso, Conjunto de regras SQL Injection.
4. Na seção Threat Type Configuration, procure pela opção SQL Injection.
5. Escolha a opção Sensitivity High para esta ameaça, para que o WAF não permita requisições consideradas como uma ameaça de SQL Injection.
6. Certifique-se de que o switch Active esteja habilitado.
7. Clique no botão Save.

Repita este processo com outros tipos de ameaças para os quais você deseja criar um conjunto de regras.

Agora, você precisa aplicar o conjunto de regras que criou no Rules Engine. Para fazer isso:

1. Ainda no Azion Console, vá para Edge Firewall.
2. Selecione o edge firewall no qual você deseja aplicar a nova regra.
3. Selecione a aba Rules Engine.
4. Clique no botão + Rule.
5. Dê um nome para sua regra e, opcionalmente, uma descrição.
6. Na seção Criteria, selecione a variável Request Args.
7. Como operador de comparação, selecione matches.
8. Como argumento, adicione content-type=select.
9. Na seção Behaviors, selecione Set WAF Rule Set.
10. Como argumentos:
    • No primeiro menu suspenso, selecione o conjunto de regras que deseja usar. Neste caso, SQL Injection rule set.
    • No segundo menu suspenso, selecione o modo que você deseja que o edge firewall opere: Learning ou Blocking. Neste caso, Blocking.
11. Clique no botão Save.

1. Acesse o Real-Time Manager (RTM) > WAF Rules.
2. Clique no botão Add WAF.
3. Na aba Main Settings, dê um nome único e fácil de lembrar para o seu conjunto de regras WAF. Neste caso, Conjunto de regras SQL Injection.
4. Na seção Threat Type Configuration, procure pela opção SQL Injection.
5. Escolha a opção Sensitivity High para esta ameaça, para que o WAF não permita requisições consideradas como uma ameaça de SQL Injection.
6. Certifique-se de que o switch Active esteja habilitado.
7. Clique no botão Save.

Repita este processo com outros tipos de ameaças para os quais você deseja criar um conjunto de regras.

Agora, você precisa aplicar o conjunto de regras que criou no Rules Engine. Para fazer isso:

1. Ainda no Azion Console, vá para Edge Firewall.
2. Selecione o edge firewall no qual você deseja aplicar a nova regra.
3. Selecione a aba Rules Engine.
4. Clique no botão New Rule.
5. Dê um nome para sua regra e, opcionalmente, uma descrição.
6. Na seção Criteria, selecione a variável Request Args.
7. Como operador de comparação, selecione matches.
8. Como argumento, adicione content-type=select.
9. Na seção Behaviors, selecione Set WAF Rule Set.
10. Como argumentos:
    • No primeiro menu suspenso, selecione o conjunto de regras que deseja usar. Neste caso, SQL Injection rule set.
    • No segundo menu suspenso, selecione o modo que você deseja que o edge firewall opere: Learning ou Blocking. Neste caso, Blocking.
11. Clique no botão Save.

1. Execute a seguinte requisição POST para criar uma regra, substituindo [TOKEN VALUE] pelo seu personal token:

curl --location 'https://api.azionapi.net/waf/rulesets' \
--header 'Accept: application/json; version=3' \
--header 'Authorization: Token [TOKEN VALUE]' \
--header 'Content-Type: application/json' \
--data '{ "name": "SQL Injection rule set", "mode": "blocking", "active": true, "sql_injection": true, "sql_injection_sensitivity": "high", "bypass_addresses": []
}'

2. Você receberá uma resposta semelhante a esta:

{ "id": 6421, "name": "SQL Injection rule set", "mode": "counting", "active": true, "sql_injection": true, "sql_injection_sensitivity": "high", "remote_file_inclusion": true, "remote_file_inclusion_sensitivity": "medium", "directory_traversal": true, "directory_traversal_sensitivity": "medium", "cross_site_scripting": true, "cross_site_scripting_sensitivity": "medium", "evading_tricks": true, "evading_tricks_sensitivity": "medium", "file_upload": true, "file_upload_sensitivity": "medium", "unwanted_access": true, "unwanted_access_sensitivity": "medium", "identified_attack": true, "identified_attack_sensitivity": "medium", "bypass_addresses": []
}

3. Copie o valor de id.
4. Execute a seguinte requisição POST para criar uma regra, substituindo [TOKEN VALUE] pelo seu personal token, a variável <edge_firewall_id>> com o ID do edge firewall e <id_conjunto_regras_waf> com o ID que você copiou:

curl --location 'https://api.azionapi.net/edge_firewall/<edge_firewall_id>/rules_engine' \
--header 'Accept: application/json; version=3' \
--header 'Authorization: Token azion5c2ecd92839e59b0cca662ada47b7382706' \
--header 'Content-Type: application/json' \
--data '{ "name": "SQL Injection rule", "is_active": true, "behaviors": [ { "name": "set_waf_ruleset", "argument": "<waf_rule_set_id>" } ], "criteria": [ [ { "variable": "request_args", "operator": "matches", "conditional": "if", "argument": "content-type=select" } ] ]
}'

Consulte a documentação da API da Azion para saber mais sobre critérios e objetos de comportamento.

5. Você receberá a seguinte resposta:

{ "results": { "name": "SQL Injection rule", "is_active": true, "behaviors": [ { "name": "set_waf_ruleset", "argument": "6421" } ], "criteria": [ [ { "variable": "request_args", "operator": "matches", "conditional": "if", "argument": "content-type=select" } ] ], "last_modified": "2023-12-01T21:43:14.580949Z", "last_editor": "user@email.com", "id": 28735, "order": 4 }, "schema_version": 3
}

Aguarde alguns minutos para que as alterações se propaguem.