Работа с набором правил

При фильтрации трафика веб-приложения и веб-сервера применяется набор правил. Каждое правило предназначено для выявления одного из видов угроз безопасности.

Включение защиты от атак типа грубой силы («BruteForce»)

Предварительно необходимо включить механизм блокировки входящих запросов на базе правил, используя Личный кабинет «Weblock.».

Для включения защиты критичных эндпоинтов (например, авторизации), необходимо выполнить следующие команды:

$ curl --request POST \
    --url http://$waf:$port/controller/v1/configurations/modsec/1/add \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer $accessToken" \
    --data ˈ{"contentv: ˈSecRule REQUET_URI \ˈ@beginsWith /api/v1/login\ˈ \
          \ˈphase:1,t:lowercase,log, pass,tag:WEBLOCK_BRUTE_REQUEST_MIRRORING\ˈ"}ˈ

$ curl --request POST \
    --url http://$waf:$port/controller/v1/clusters/1/modsec/send \
    --header "Authorization: Bearer $accessToken"

где $waf, $port и $accessToken заданы при получении токена доступа (подробнее Токен авторизации).

Точечное удаление правила из базового набора

В том случае, если правило перестало быть легитимным, его можно точечно удалить из базового набора правил.

Сначала следует получить список правил, для этого выполнить следующую команду:

$ curl --request GET \
    --url http://$waf:$port/controller/v1/configurations/modsec/1 \
    --header "Authorization: Bearer $accessToken" | jq .

где $waf, $port и $accessToken заданы при получении токена доступа (подробнее Токен авторизации).

В ответе нужно найти правило для удаления и запомнить его индекс (например, 314). После чего можно выполнить команду удаления, подставив соответствующий индекс:

$ curl --request DELETE \
    --url http://$waf:$port/controller/v1/configurations/modsec/1/rules/314 \
    --header "Authorization: Bearer $accessToken"

и команду активации внесенных изменений:

$ curl --request POST \
    --url http://$waf:$port/controller/v1/clusters/1/modsec/send \
    --header "Authorization: Bearer $accessToken"

Точечное изменение индекса правила

Индекс правил используется для установки порядка их применения. Изменить индекс правила можно следующей командой:

$ curl --request POST \
    --url http://$waf:$port/controller/v1/configurations/modsec/1/rules/314 \
    --header "Content-type: application/json" \
    --header "Authorization: Bearer $accessToken" \
    --data '{"index": 0}'

где $waf, $port и $accessToken заданы при получении токена доступа (подробнее Токен авторизации).

Таким образом измененное правило (имело индекс 314) будет иметь индекс 0 и выполнится первым в очереди.

../_images/Weblock_Logos_small.png