Per i firewall a livello di rete disponiamo di diversi tipi di controlli di ridondanza e coerenza, come lo shading delle regole, che possono influire sulle prestazioni del firewall. Un simile tipo di controllo può essere applicato sui WAF, ho qualche domanda?
Lavoro per una società di sicurezza ( Incapsula ) e una delle nostre funzionalità del prodotto è un DDS PCI WAF conforme. Penso che @symcbean abbia già dato un'ottima risposta, quindi sono qui per aggiungere alcune informazioni alla discussione:
Does order of Rules matter ?
@symcbean ha detto tutto.
How inconsistent rules are handle.
Se ti riferisci a uno scenario in cui diverse (rilevanti) regole raggiungono conclusioni diverse, allora consiglio di andare sempre con il "giudizio più duro".
Questo dipende da te, ovviamente. Puoi andare dall'altra parte e attuare un approccio più indulgente che preverrà più "falsi positivi", ma penso che, per la maggior parte, la sicurezza sia un problema molto più grande. Inoltre, una buona regola eliminerà la maggior parte dei "falsi positivi" e le incoerenze saranno poche e lontane tra loro. Per SAAS, dovresti avere molte opzioni di personalizzazione per sovrascrivere le regole di sistema predefinite, ma l'impostazione predefinita dovrebbe essere orientata alla massima sicurezza.
How redundancy is removed from the ruleset
Come precedentemente affermato, non ci dovrebbe essere ridondanza nel set di regole.
Can rules be bypassed for static application layer signatures
Sì. Ad esempio, in Incapsula utilizziamo una regola di ottimizzazione dell'applicazione che identifica le applicazioni e le piattaforme di uso comune e modifica il comportamento di conseguenza. (cioè ottimizzazione per WP, Joomla, estensioni e plugin popolari e così via) Non sto sostenendo l'ottimizzazione per tutti gli scenari possibili (semplicemente inefficace), ma se stai pensando al marketing di massa, dovresti almeno coprire le piattaforme più comuni / applicazioni.
Buona fortuna
Does order of Rules matter ?
Naturalmente. Si tratta principalmente di prestazioni.
Anche se il firewall implementa solo una politica di accettazione / rifiuto (potrebbe, ad esempio, decidere di indirizzare la richiesta altrove), il tempo necessario per decidere cosa fare con esso dipenderà dal numero di regole deve elaborare al fine di raggiungere una decisione e lo sforzo richiesto per risolvere tali domande. Quindi l'ordine ha un enorme impatto sulle prestazioni.
Inoltre, la maggior parte di tali firewall beneficiano di regole fuzzy - una singola regola (o anche una singola richiesta web in sessione) potrebbe non fornire abbastanza informazioni per determinare se una richiesta debba essere elaborata o meno - il firewall mantiene quindi molto più stato di un firewall di stato 5 di livello.
How inconsistent rules are handle.
Non ho idea di cosa intendi con questo.
How redundancy is removed from the ruleset
Per progettazione.
Can rules be bypassed for static application layer signatures
Sì, se si configurano le regole per consentire questo.
Leggi altre domande sui tag web-application firewalls waf mod-security