Automatic policy building
همانطور که در پستهای قبل گفته شد با استفاده از ASM می توان به صورت خودکار پالیسی امنیتی ایجاد کرد که این سیاست امنیتی با توجه به ساختار نیازمندیهای سازمان مورد نظر می باشد . ابزار ایجاد سیاست های به صورت خودکار The real traffic policy builder نامیده می شود . که یک سیاست امنیتی براساس تنظیمات انجام شده و ویژگی های ترافیک که به سمت برنامه های وب ارسال می شود ایجاد می کند .
Create Security Policy Automatically
قبل از ایجاد Security policy می بایست تنظیمات مربوط به پیکربندی از جمله VLAN و IP address و سایر مواردی که قبلا ذکر گردید با توجه به نیاز شبکه انجام گردد .
برای ایجاد یک security policy
در تب اصلی Application Security–> منوی مربوط به Security Policy–> پالیسی های فعال نمایش داده می شود –> با کلیک روی دکمه Create –> select local traffic deployment scenario
- Existing Virtual Server –> به منظور ایجاد از virtual server های موجودی که دارای پالسی امنیتی نمی باشند از این گزینه استفاده می شود
- New Virtual Serve–> به منظور ایجاد یک VS و pool جدید با تنظیمات پایه می بایست از این گزینه استفاده گردد
- Don’t associate with VS–> جهت ایجاد یک پالیسی که فعال است ولی از آن درهیچ pool خاصی استفاده نمی گردد
از این پالیسی هیچ ترافیکی عبور نخواهد کرد و تا زمانیکه به یک VS ، assign شود policy builder به صورت خودکار نمی تواند هیچ گونه رفتارسنجی برای آن انجام دهد تا زمانیکه ترافیک از آن عبور کند
- در صورتی که گزینه new انتخاب گردد می بایست پروتکل ،نام ، آدرس IP مجازی مقصد به همراه پورت آن ، آدرس IP مربوط به Pool member به همراه پورت آن مشخص گردد
- اگر از گزینه Existing virtual server استفاده گردد می بایست profile HTTP حتما فعال گردد
- در صورت استفاده از گزینه don’t associate with virtual server می بایست در زمان استفاده به صورت دستی به virtual server اختصاص داده شود
- جهت تعیین زبان برنامه نویسی وب سرور مورد نظر در قسمت Application Language نوع آن مشخص می گردد و یا می توان auto detect را انتخاب کرد تا سیستم آن را شناسایی کند
- در صورتی که پالیسی برای URL ، http و https تفاوت دارد در قسمت different between http and https آن را انتخاب می کنید
- در قسمت مربوط به attack signature مواردی از قبیل operating system ، web server ، language ، DB Server مورد استفاده در web application را از قسمت available system به assigned system اضافه میکنیم
- در این حالت سیستم attack signature مورد نیاز برای محافظت از سیستم های انتخاب شده را اضافه می کند قسمت تنظیمات مربوط به signature staging جهت تایید تنظیمات پیش فرض می باشد .
- از آنجا که Real Traffic Policy Builder سیاست های امنیتی را در حالت block ایجاد می کند با فعالسازی signature staging می توان بررسی کرد که آیا ترافیک مجاز متوقف شده یا خیر (جهت کاهش احتمال false positive)
policy type:
در صفحه مربوط به Configure automatic policy building در قسمت policy type گزینه هایی برای تعیین ویژگی هایی که یک پالیسی می بایست داشته باشد وجود دارد
- Fundamental:درسطح ابتدایی policy builder را براساس ترافیک عبوری ایجاد می کند.برای نمونه این ویژگی ها شامل :
- HTTP Protocol Compliance
- Evasion Techniques
- Learn New File Type Lengths
- Method
- Host Name
- Attack Signature
- …
- Enhanced:تمام ویژگی های گروه fundamental را دارا می باشد ،همچنین یک سری موارد دیگر را نیز مورد بررسی قرار می دهد ، که برای نمونه میتوان از موارد زیر نام برد :
- Content Profile
- Brute Force Login Protection
- Brute Force Login Protection
- Learn New Cookies
- Track User Login Sessions
- …
- Comprehensive:علاوه بر داشتن ویژگی های enhanced نیز ویژگی های بیشتری را دارا می باشد این ویژگی ها شامل :
- CSRF URL
- Cookies Length
- Header Length
- Dynamic Parameters: Using Statistics
- …
Policy Builder Learning Speed:
- Fast: اگر وب سرویس از تعداد کمی درخواست و تعداد کمی Session پشتیبانی می کند از این حالت استفاده می گردد (دروب سایت های با ترافیک کمتر مورد استفاده می گردد)
- Medium: اگر وب سرویس تعداد متوسطی درخواست را پشتیبانی می کند یا اگر میزان ترافیک ورودی در وب سایت مشخص نیست از این گزینه به عنوان پیش فرض استفاده میشود .
- Slow: اگر وب سرویس از تعداد زیادی درخواست و Session پشتیبانی می کند برای مثال برای وب سایت هایی با ترافیک بالا بسیار مفید است این گزینه دقیق ترین Security policy را ایجاد می کند ولیکن جهت جمع آوری و بررسی لاگ ها از سمت policy builder زمان بر می باشد
براساس گزینه ای که انتخاب می کنید سیستم میزان Session های مختلف کاربر ،IP آدرس های مختلف و مدت زمان را قبل از اضافه شدن به یک security Policy بررسی نموده و برای اجرای آن تصمیم گیری و تنظیم می کند .
Trusted IP Address:
مشخص می کند که کدام IP ها امن هستند .دو حالت دارد:
ALL:
این پالیسی تمام IP آدرسها را به عنوان Trust(قابل اطمینان) قرار می دهد به عنوان مثال اگر ترافیک در یک محیط LAB و در شرایط شبیه سازی یا پیش تولید قرار گرفته باشد که تمام ترافیک را می توان به عنوان Trust در نظر گرفت انتخاب این گزینه باعث ایجاد سریعتر پالیسی می شود
Address List:
این گزینه معمولا در محیط عملیاتی مورد استفاده قرار می گیرد که ترافیک از منابع نا مشخص است اگر لیست Trusted IP خالی گذاشته شود سیستم تمام ترافیک را به عنوان untrusted در نظر می گیرد.
در حالت کلی از IP Address های مختلف ترافیک زیادی به صورت untrusted وارد می شود ، زمان زیادی را برای ایجاد Security Policy در برمیگیرد
Ajax Blocking Response Behavior:
این گزینه زمانی که یک درخواست AJAX با Security Policy منطبق نباشد ، یک صفحه response نمایش می دهد.
JSON/XML payload detection :
اگر می خواهید Security Policy به صورت خودکار پروتکل های JSON و XMl را شناسایی کند این گزینه را انتخاب کنید.
دیدگاهتان را بنویسید