Vorkonfigurierte WAF-Regeln für Google Cloud Armor sind komplexe Web Application Firewall (WAF)-Regeln mit Dutzenden von Signaturen, die aus Open-Source-Branchenstandards kompiliert wurden. Jede Signatur entspricht einer Angriffserkennungsregel im Regelsatz. Google bietet diese Regeln wie besehen an. Die Regeln ermöglichen es Google Cloud Armor, Dutzende von unterschiedlichen Traffic-Signaturen auszuwerten. Dabei bezieht sich Google Cloud Armor auf Regeln, die praktischerweise benannt sind, anstatt dass Sie jede Signatur manuell definieren müssen.
Die folgende Tabelle enthält eine umfassende Liste vorkonfigurierter WAF-Regeln, die in einer Google Cloud Armor-Sicherheitsrichtlinie verwendet werden können. Die Regelquellen sind OWASP Core Rule Set (CRS) 3.0 und CRS 3.3.2.
Wir empfehlen Ihnen, Version 3.3 zu verwenden, um die Empfindlichkeit zu erhöhen und eine Vielzahl geschützter Angriffstypen zu erhalten. Derzeit wird CRS 3.0 unterstützt.
Darüber hinaus stehen allen Google Cloud Armor-Kunden die folgenden cve-canary-Regeln zur Verfügung, um die folgenden Sicherheitslücken zu erkennen und optional zu blockieren:
Log4j-RCE-Sicherheitslücken CVE-2021-44228 und CVE-2021-45046
942550-sqli Sicherheitslücke bei JSON-formatierten Inhalten
Name der Google Cloud Armor-Regel
Abgedeckte Sicherheitslückentypen
cve-canary
Log4j-Sicherheitslücke
json-sqli-canary
JSON-basierte SQL-Injection-Umgehungslücke
Vorkonfigurierte OWASP-Regeln
Jede vorkonfigurierte WAF-Regel hat eine Empfindlichkeitsstufe, die einer Paranoia-Stufe des OWASP CRS entspricht.
Eine niedrigere Empfindlichkeitsstufe weist auf eine vertrauenswürdigere Signatur hin, bei der die Wahrscheinlichkeit eines falsch-positiven Ergebnisses geringer ist. Eine höhere Empfindlichkeitsstufe erhöht die Sicherheit, erhöht aber auch das Risiko, ein falsch-positives Ergebnis zu erzeugen.
SQL-Injection (SQLi)
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für SQLi.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für XSS.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für LFI.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für LFI entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:
Codeausführung per Fernzugriff (Remote Code Execution, RCE)
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für RCE.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für RCE entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:
Datei-Aufnahme per Fernzugriff (Remote File Inclusion, RFI)
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für RFI.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Methodenerzwingungsregel.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Scannererkennungsregel.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Protokollangriffsregel.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten WAF-Regel für PHP.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Sitzungsfixierungsregel.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für die Sitzungsfixierung entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für alle Empfindlichkeitsstufen:
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Java-Angriffsregel.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten NodeJS-Angriffsregel.
Die folgenden vorkonfigurierten WAF-Regelsignaturen sind nur in CRS 3.3 enthalten.
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Alle Signaturen für den NodeJS-Angriff entsprechen der Empfindlichkeitsstufe 1. Die folgende Konfiguration funktioniert für andere Empfindlichkeitsstufen:
Die folgende Tabelle enthält die Signatur-ID, Empfindlichkeitsstufe und Beschreibung jeder unterstützten Signatur in der vorkonfigurierten Regel für die CVE-Log4j-RCE-Sicherheitslücke.
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-v030001-id044228-cve
1
Basisregel zur Erkennung von Exploit-Versuchen von CVE-2021-44228 und CVE-2021-45046
owasp-crs-v030001-id144228-cve
1
Von Google bereitgestellte Verbesserungen, um mehr Umgehungs- und Verschleierungsversuche abzudecken
owasp-crs-v030001-id244228-cve
3
Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt
owasp-crs-v030001-id344228-cve
3
Erhöhte Empfindlichkeit der Erkennung, um noch mehr Umgehungs- und Verschleierungsversuche mit base64-Codierung zu erkennen, wobei das Risiko einer falsch-positiven Erkennung nur geringfügig steigt
Sie können eine Regel mit einer bestimmten Empfindlichkeitsstufe konfigurieren. Verwenden Sie dazu evaluatePreconfiguredWaf() mit einem voreingestellten Empfindlichkeitsparameter. Standardmäßig wertet Google Cloud Armor alle Signaturen aus, ohne die Empfindlichkeit des Regelsatzes zu konfigurieren.
SQLi-Sicherheitslücke bei JSON-formatierten Inhalten
Die folgende Tabelle enthält die Signatur-ID, die Empfindlichkeitsstufe und die Beschreibung der unterstützten Signatur 942550-sqli. Diese Signatur deckt die Sicherheitslücke ab, bei der böswillige Angreifer die WAF umgehen können, indem sie SQL-Injection-Nutzlasten JSON-Syntax hinzufügen.
Signatur-ID (Regel-ID)
Empfindlichkeitsstufe
Beschreibung
owasp-crs-id942550-sqli
2
Erkennt alle JSON-basierten SQLi-Vektoren, einschließlich SQLi-Signaturen, die in der URL gefunden werden
Verwenden Sie den folgenden Ausdruck, um die Signatur bereitzustellen:
Wir empfehlen, sqli-v33-stable auch auf Sensibilitätsstufe 2 zu aktivieren, um JSON-basierte SQL-Injection-Umgehungen vollständig zu beheben.
Beschränkungen
Vorkonfigurierte WAF-Regeln für Google Cloud Armor unterliegen den folgenden Einschränkungen:
Es kann einige Minuten dauern, bis WAF-Regeln übernommen werden.
Von den HTTP-Anfragetypen mit einem Anfragetext verarbeitet Google Cloud Armor nur POST-Anfragen. Google Cloud Armor wertet vorkonfigurierte Regeln für die ersten 8 KB des Textinhalts POST aus. Weitere Informationen finden Sie unter POST-Beschränkung von Textkörperinspektion.
Google Cloud Armor kann vorkonfigurierte WAF-Regeln parsen und anwenden, wenn die JSON-Analyse mit einem übereinstimmenden Content-Type-Headerwert aktiviert ist. Weitere Informationen finden Sie unter JSON-Parsing.
Wenn einer vorkonfigurierten WAF-Regel ein Anfragefeldausschluss zugeordnet ist, können Sie die Aktion allow nicht verwenden. Anfragen, die der Ausnahme entsprechen, werden automatisch zugelassen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-02-06 (UTC)."],[],[]]