Browse Ask a Question
 
Tools Add
Rss Categories

Enforcing Page Order that Follows Application Logic

Author: Partian Co Reference Number: AA-00318 Views: 2676 Created: 2017-08-07 15:14 Last Updated: 2017-11-26 14:57 0 Rating/ Voters
Enforcing Page Order that Follows Application Logic

Rule های Page Order که با نام Page Access Rules نیز معرفی می شوند، URL هایی که باید به یک ترتیب خاص در دسترس کاربر قرار می گیرند را تعریف می کنند. به عنوان مثال فرآیند تغییر پسورد باید به ترتیب زیر انجام شود:

  1. کاربر با فرستادن یک درخواست جهت دستیابی به صفحه ی Login، یک HTTP Session را آغاز می کند:  GET /login.asp 
  2. کاربر اطلاعات مربوط به احراز هویت را ارئه می دهد:  POST /checkLogin.asp?account=user1&password=myPassw0rd!
  3. اگر عملیات Login موفقیت آمیز بود، وب اپلیکیشن پروفایل حساب کاربری کاربر فوق را نمایش می دهد. این پروفایل شامل یک فرم جهت تغییر پسورد می باشد:  GET /profile.asp
  4. کاربر درخواست تعویض پسورد را ارائه می دهد:  POST /setPassword.asp?account=user1&password=myPassw0rd!
  5. اگر عملیات تعویض پسورد موفقیت آمیز بود پیامی مبنی بر تغییر یافتن پسورد برای کاربر فرستاده می شود:  GET /profile.asp?status=success

 تنظیمات مربوط به ایجاد یک Page Order Rule

  • قبل از شروع تنظیمات اگر می خواهید این Rule فقط بر روی درخواست هایی که به سمت یک Virtual Host و یا Real Host خاص فرستاده می شوند، اعمال شود، ابتدا باید Host فوق را در یک Protected Host Names Group تعریف کنید. برای آشنایی بیشتر به آموزش Protected Web Servers and Allowed/Protected Host Names مراجعه نمایید.
  • از منوی سمت چپ به مسیر Web Protection > Access > Page Access رفته و از نوار بالای صفحه بر روی گزینه ی Create New کلیک کنید.

نکته:

  • برای فیلد Name یک نام منحصر بفرد انتخاب کرده تا در دیگر بخش های تنظیمات بتوانید به راحتی از آن استفاده کنید. در انتخاب نام مورد نظر از Space یا کاراکتر های خاص استفاده نکنید. همچنین حداکثر طول این نام باید 35 کاراکتر باشد.
  • زمانی که یک Violation در Log ثبت می شود، هر Log Message شامل یک فیلد به نام Severity Level می شود. توسط گزینه ی Severity می توانید تعیین کنید که دستگاه FortiWeb کدام Severity Level را در زمان وقوع یک Violation استفاده کند. گزینه های موجود برای Severity Level به قرار زیر می باشد:
  1.  Low
  2.  Medium
  3.  High

مقدار پیش فرض برای این گزینه High می باشد.

  • توسط فیلد Trigger Action مشخص خواهید کرد هنگامی که یک Log و یا Alert Email در رابطه با یک Violation ایجاد می شود، دستگاه FortiWeb از کدام Trigger استفاده کند. به عنوان مثال شما می توانید FortiAnalyzer را به عنوان Trigger  انتخاب کنید.
  •   در ادامه بر روی گزینه ی OK کلیک کرده و گزینه ی Create New را جهت ایجاد یک Rule انتخاب کنید.


نکته:

  • Host: برای این فیلد نام یک Host تحت حفاظت را وارد کنید. این نام با مقدار فیلد Host مربوط به یک درخواست مقایسه و در صورت Match شدن Access Rule اجرا می شود. این فیلد تنها در صورتی که گزینه ی Host Status فعال باشد قابل تنظیم می باشد.
  • Host Status: اگر قصد دارید این Access Rule تنها بر روی درخواست هایی که به سمت یک Host خاص فرستاده می شود، اعمال شود این گزینه را فعال کنید.
  • Type: توسط این گزینه الگوی مورد نظر خود را برای فیلد URL Pattern مشخص خواهید کرد. در صورت انتخاب Simple String باید URL را به صورت کامل یا قسمتی از آن را عینا وارد کنید و در صورت انتخاب Regular Expression باید یک الگو را در فیلد URL Pattern وارد کنید. در واقع Regular Expression ترکیبی از  علامت ها و کاراکتر ها می باشد که الگویی را جهت جستجوی URL فراهم می کند. در نتیجه اگر قسمتی از URL شامل این الگو شود عملیات Match شدن انجام و Rule فوق بر روی Request اعمال می شود. به عنوان مثال با انتخاب گزینه ی Simple String شما می توانید الگوی cart.php/ را به عنوان URL Pattern و یا با انتخاب گزینه ی Regular Expression شما می توانید الگوی ^/*.php را به عنوان URL Pattern در نظر بگیرید. توجه شود که که در صورت انتخاب گزینه ی Simple String الگویی که در نظر می گیرید باید با کاراکتر Slash شروع شود.
  •  جهت ایجاد Rule های دیگر مراحل بالا را تکرار کنید.
  • جهت اعمال Access Rule، آن را در یک Inline Protection Profile انتخاب کنید. همچنین ویژگی Session Management را فعال کنید.
Rss Comments
  • There are no comments for this article.
Info Add Comment
Nickname: Your Email: Subject: Comment:
Enter the code below:
Info Ask a Question 
Copyright © 2010-2017 Partian.co - all rights reserved