OCI WAF -1

OCI WAF 생성

Action 설정

OCI WAF의 Action에서는 Check, Allow, Return HTTP Respose 3가지의 타입이 있습니다.

 

Pre-configured Check Action: 이 액션은 규칙을 실행하여 조건을 만족했는지 확인하고 그 결과를 로그로 기록하는 동작입니다

Pre-configured Allow Action: 이 액션은 요청을 추가적인 검사나 규칙 적용 없이 통과시키는 동작입니다

Pre-configured 401 Response Code Action: 이 액션은 클라이언트에게 401 Unauthorized(인증되지 않음) HTTP 응답을 반환합니다

주로 들어오는 트래픽이 보안 요구 사항을 충족하지 못하거나 인증 자격 증명이 유효하지 않을 때 사용됩니다, 401 말고도 Edit에서 응답 코드를 다양하게 변경할 수 있습니다.

 

Access control

Access Control은 WAF 정책에서 웹 어플리케이션으로 들어오는 트래픽을 제어하는 기능입니다.

 

Access Control을 설정하면, 다양한 조건을 기반으로 액세스를 허용하거나 거부하는 요청 제어 규칙과 응답 제어 규칙을 정의할 수 있습니다

 

요청 제어(Request Control): 들어오는 요청을 분석하고, 지정된 조건을 충족하면 특정 동작을 수행합니다. 예를 들어, 요청이 특정 IP 주소에서 왔거나, 특정 URL 경로로 들어오는 요청을 차단하거나 허용할 수 있습니다

응답 제어(Response Control): 웹 애플리케이션에서 반환하는 응답을 분석하고, 규칙에 따라 응답을 수정하거나 차단할 수 있습니다. 이를 통해, 예를 들어, 비정상적인 트래픽에 대해 401 Unauthorized 응답을 반환하도록 설정할 수 있습니다

 

실습에서는 국가/리전 기반으로 한국외의 모든 Request는 차단하도록 설정을 진행하겠습니다.

위의 조건은 Not in list는 지정된 목록에 포함되지 않는 값을 의미합니다

즉 대한민국에 포함되지 않는 리스트 즉 다른 국가에서 들어오는 트래픽에 대한 요청의 경우 401을 반환하는 규칙입니다.

 

Condition Type에 따라 다양하게 요청에 대해서 제어할 수 있도록 규칙을 정의할 수 있습니다.

 

Source IP address를 선택할 경우 network address list를 생성하여 여러 Source IP를 등록하여 IP들을 차단할 수 있습니다.

Rate Limiting(비율 제한)

Condition Type은 경로를 선택하고 Operator는 is로 하여 값이 일치한 지 확인하고 Value는 /로 설정하여 / 경로로 값이 정확하게 일치하는지 확인합니다.

 

 

 

Request Limit: 최대 요청 횟수

Period in seconds: 요청 횟수를 얼마 동안 모니터링할 것인지를 결정합니다.

Action duration in seconds: 차단 조치 기간

 

이렇게 설정할 경우 모든 Request에 대해 20초 동안 10회 이상의 Request가 발생할 경우 5초 동안 401 HTTP 응답을 반환 합니다.

Protection Rule

Condition Type은 경로를 선택하고 Operator는 is로 하여 값이 일치한 지 확인하고 Value는 /로 설정하여 / 경로로 값이 정확하게 일치하지 확인합니다.

 

 

Protection capabilities(보호기능)는 OCI의 Recommended를 사용합니다.

 

Access control 테스트

https://tools.pingdom.com/ 해당 사이트에서 해외 국가로 접속 테스트를 진행하게 되면 401을 반환 하여 정상적으로 접속이 불가능 한 것을 알 수 있습니다.

 

Rate Limiting(비율 제한) 테스트

새로 고침으로 테스트를 진행하였을 때 10회 이상의 Request가 발생할 경우 5초 동안 401 HTTP 응답을 반환하는 것을 확인할 수 있습니다.

 

Protection Rule 테스트의 경우 다음 글에서 진행하겠습니다.