使用AWAF进行Header防护

本文介绍如何使用AWAF进行Header相关的安全防护，使用的版本是v15。

1. Headers长度限制

我们先创建一个Security Policy，在Policy的全局参数中有一个Maximum HTTP Header Length        选项，这个选项可以限制Headers的长度（整体而不是单个）。

同时在Policy Building里将Illegal header length开启Block。

这里为了方便测试我们设置为30，然后应用到一个http vs上面。

用curl命令做测试，可以看到，我们带上一个比较长的Header后请求被拦截，而减少Header长度后就能正常访问了。（请注意curl本身会带上一些默认Header，其长度也要计算在内）。

查看日志我们可以看到拦截的具体信息。

2.  单个Header的防护

接下来我们进入Headers列表。

可以看到有3个预设的明细Header和一个通配符Header，这四个Header我们可以编辑配置但不可以删除。

我们可以新建明细Header针对应用的自定义Header进行特殊配置，例如我们新建一个名为test的Header，可以在以下选项中针对这个Header做特殊配置，例如将这个Header设置为强制要求，或是关闭针对这个Header的特征库检测。

我们将test设置为强制要求，并且在Policy Building中将这个功能开启Block。

使用curl进行访问，可以看到请求Header不带test的话会被拦截。

查看日志我们可以看到拦截的具体信息。

3. Meta characters限制

AWAF还可以限制Headers中允许的Meta characters，例如我们可以在Character Set中设置禁止使用*号。

在Policy Building中开启Block。

使用curl进行测试，在header中使用*号就会被拦截。

可以在日志中看到拦截的详细信息。

以上就是针对 AWAF Header相关防护技术的一个简单介绍，更多功能欢迎大家继续进行探索或者与F5取得联系获取帮助。