| |
| |
Specifying Allowed HTTP Methods
| Author: Partian Co Reference Number: AA-00325 Views: 2700 Created: 2017-08-15 14:22 Last Updated: 2017-09-18 13:21 |
0 Rating/ Voters
|
 |
مشخص کردن HTTP Method های مجاز
شما می توانید با ایجاد یک Policy تنها HTTP Request Method های خاص را مجاز شمارید. این امر می تواند جهت محافظت از وب سرور در برابر حملات مفید باشد.
تنظیمات مربوط به ایجاد یک HTTP Request Method Policy
- از منوی سمت چپ به مسیر Web Protection > Access > Allow Method رفته و از نوار بالای صفحه بر روی گزینه ی Allow Method Policy کلیک کرده و در ادامه گزینه ی Create New را انتخاب کنید.
نکته:
- برای فیلد Name یک نام منحصر بفرد انتخاب کرده تا در دیگر بخش های تنظیمات
بتوانید به راحتی از آن استفاده کنید. در انتخاب نام مورد نظر از Space یا
کاراکتر های خاص استفاده نکنید. همچنین حداکثر طول این نام باید 35 کاراکتر
باشد.
- Allow Request: توسط این گزینه HTTP Request Method هایی که قصد دارید مجاز شمرده شوند را انتخاب کنید. متد هایی که انتخاب نشوند Deny خواهند شد، مگر اینکه توسط گزینه ی Allow Method Exceptions در تنظیمات فوق، برای یک Host یا URL مجاز شناخته شوند.
- زمانی که یک Violation در Log ثبت می شود، هر Log Message شامل یک
فیلد به نام Severity Level می شود. توسط گزینه ی Severity می توانید
تعیین کنید که دستگاه FortiWeb کدام Severity Level را در زمان وقوع یک
Violation استفاده خواهد کرد. گزینه های موجود برای Severity Level به قرار
زیر می باشد:
- Low
- Medium
- High
مقدار پیش فرض برای این گزینه High می باشد.
- توسط فیلد Trigger Action مشخص خواهید کرد هنگامی که یک Log و یا Alert
Email در رابطه با یک Violation ایجاد می شود، دستگاه FortiWeb از کدام
Trigger استفاده کند. به عنوان مثال شما می توانید FortiAnalyzer را به عنوان Trigger انتخاب کنید.
- جهت اعمال Allowed Method Policy فوق آن را در یک Inline Protection Profile انتخاب کنید.
تنظیمات مربوط به Allowed Method Exceptions
- قبل از شروع تنظیمات اگر می خواهید این Rule فقط بر روی درخواست هایی که به
سمت یک Virtual Host و یا Real Host خاص فرستاده می شوند، اعمال شود،
ابتدا باید Host فوق را در یک Protected Host Names Group تعریف کنید. برای
آشنایی بیشتر به آموزش Protected Web Servers and Allowed/Protected Host Names مراجعه نمایید.
- از منوی سمت چپ به مسیر Web Protection > Access > Allow Method رفته و از نوار بالای صفحه بر روی گزینه ی Allow Method Exceptions کلیک کرده و در ادامه گزینه ی Create New را انتخاب کنید.
نکته:
- برای فیلد Name یک نام منحصر بفرد انتخاب کرده تا در دیگر بخش های تنظیمات
بتوانید به راحتی از آن استفاده کنید. در انتخاب نام مورد نظر از Space یا
کاراکتر های خاص استفاده نکنید. همچنین حداکثر طول این نام باید 35 کاراکتر
باشد.
- در ادامه بر روی گزینه ی OK کلیک کرده و گزینه ی Create New را انتخاب کنید.
نکته:
- Host Status: اگر قصد دارید این Exception تنها بر روی HTTP Request
هایی که به سمت یک Host خاص فرستاده می شود، اعمال شود این گزینه را فعال
کنید.
- Host: برای این فیلد نام یک Host تحت حفاظت را وارد
کنید. این نام
با
مقدار فیلد Host مربوط به یک HTTP Request مقایسه و در صورت Match شدن Exception Rule فوق اجرا می شود. این فیلد تنها در صورتی که گزینه ی Host
Status
فعال باشد قابل تنظیم می باشد.
- Type: توسط این گزینه الگوی مورد نظر خود را برای فیلد URL Pattern مشخص
خواهید کرد. در صورت انتخاب Simple String باید URL را به صورت کامل یا
قسمتی از آن را عینا وارد کنید و در صورت انتخاب Regular Expression باید
یک الگو را در فیلد URL Pattern وارد کنید. در واقع Regular
Expression ترکیبی از علامت ها و کاراکتر ها می باشد که الگویی را جهت
جستجوی URL فراهم می کند. در نتیجه اگر قسمتی از URL شامل این الگو شود
عملیات Match شدن انجام و Rule فوق بر روی Request اعمال می شود. به عنوان
مثال با انتخاب گزینه ی Simple String شما می توانید الگوی cart.php/ را به عنوان URL Pattern و یا با انتخاب گزینه ی Regular Expression شما می توانید الگوی ^/*.php را به عنوان URL Pattern در نظر بگیرید. توجه شود که که در صورت انتخاب گزینه ی Simple String الگویی که در نظر می گیرید باید با کاراکتر / شروع شود.
- Allow Method Exception: توسط این گزینه HTTP Request Method هایی که قصد دارید مجاز شمرده شوند را انتخاب کنید.
- جهت اعمال Allowed Method Exception فوق، آن را در یک Allowed Method Policy انتخاب کنید.
|
| |
|
Categories 
