Référentiel technique
En-têtes HTTP
Les serveurs Visiativ Cyber WAF peuvent modifier leur comportement pour le traitement de certaines requêtes en fonction d'en-têtes spécifiques fournies par le navigateur client ou votre application. Par ailleurs, un certain nombre d'en-têtes spécifiques de réponses peuvent être activées, en plus des en-têtes standard.
Echanges avec le navigateur client
En-têtes de réponse
Les en-têtes HTTP suivants peuvent être ajoutés, modifiés ou supprimés lors de la réponse des serveurs Visiativ Cyber WAF vers les navigateurs de vos internautes.
| En-tête HTTP | Description |
|---|---|
via | Indique le serveur Visiativ Cyber WAF par lequel la requête a transité jusqu'à votre application. Le niveau de debug doit être positionné sur Moyen ou plus haut. |
X-ProxeeGuard-Backend | Indique le backend et l'IP du serveur ayant pris en charge la requête. Le niveau de debug doit être positionné sur Moyen ou plus haut et votre application doit être paramétrée avec plusieurs serveurs (voir la section Equilibrage de charge). |
X-ProxeeGuard-Cache-Date | Indique la date de mise en cache d'un contenu. Le niveau de debug doit être positionné sur Moyen ou plus haut. |
X-ProxeeGuard-Cache-Status | Indique l'état de mise en cache d'un contenu :
Moyen ou plus haut. |
X-ProxeeGuard-Request-Id | Indique un identifiant unique de requête. Cet identifiant peut être utilisé par les équipes Visiativ à des fins de diagnostic. Le niveau de debug doit être positionné sur Haut. |
X-ProxeeGuard-Rule-Id | Indique un identifiant unique de règle. Cet identifiant peut être utilisé par les équipes Visiativ à des fins de diagnostic. Le niveau de debug doit être positionné sur Moyen ou plus haut. |
Echanges avec les backends
En-têtes de requête
Les en-têtes HTTP suivants sont positionnés dans les requêtes émises par les serveurs Visiativ Cyber WAF vers vos serveurs backends.
| En-tête HTTP | Description |
|---|---|
Host | Contient le nom de domaine de l'application, ou le nom de domaine personnalisé si celui-ci a été précisé. |
X-Forwarded-For | Contient l'en-tête X-Forwarded-For fournit par le navigateur de l'internaute qui a émis la requête, avec l'adresse IP de l'internaute séparé par une virgule. Si l'en-tête X-Forwarded-For est absent de la requête initiale le contenu est identique à X-Real-IP. |
X-Forwarded-Proto | Contient le type de connexion de la requête initiale, http ou https. |
X-Real-IP | Contient l'adresse IP de l'internaute qui a émis la requête initiale. |
Adressage IP des clusters
Les clusters Visiativ Cyber WAF sont constitués de plusieurs serveurs afin de garantir une disponibilité et une performance maximale.
Vous trouverez ici la liste des plages IP depuis lesquelles des connexions vers vos serveurs vont être initiées, en fonction des clusters auxquels votre application est rattachée. Ces IP peuvent être utilisées pour configurer des restrictions d'accès à vos serveurs, par exemple pour bloquer le trafic qui ne provient pas des serveurs Visiativ Cyber WAF.
| Cluster | Composition géographique | Plage / Adresses IP |
|---|---|---|
| Cluster OVH France #1 | Strasbourg, Gravelines | 5.39.7.192/29 |
| Staging OVH France #1 | Strasbourg | 5.39.7.192/29 |
Compatibilité TLS / SSL
Protocoles supportés
| Protocole | Prise en charge |
|---|---|
| TLS v1.3 | Oui |
| TLS v1.2 | Oui |
| TLS v1.1 | Non (version déclarée obsolète par l'IETF) |
| TLS v1.0 | Non (version déclarée obsolète par l'IETF) |
| SSL v3 | Non (version déclarée obsolète par l'IETF) |
| SSL v2 | Non (version déclarée obsolète par l'IETF) |
Ciphers supportés
Le tableau ci-dessous donne la liste exhaustive des ciphers pris en charge par Visiativ Cyber WAF. Ceux-ci sont activés par défaut afin de conserver une compatibilité maximale avec des équipements historiques, sans toutefois compromettre le niveau de sécurisation des échanges. Il est toutefois possible de réduire cette liste pour ne conserver que les ciphers les plus sécurisés.
| Identifiant | Nom IANA | Nom OpenSSL | Recommandation ANSSI |
|---|---|---|---|
0x1302 | TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | Oui |
0x1303 | TLS_CHACHA20_POLY1305_SHA256 | TLS_CHACHA20_POLY1305_SHA256 | Oui |
0x1301 | TLS_AES_128_GCM_SHA256 | TLS_AES_128_GCM_SHA256 | Oui |
0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | Oui |
0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 | Oui |
0xC061 | TLS_ECDHE_RSA_WITH_ARIA_256_GCM_SHA384 | ECDHE-ARIA256-GCM-SHA384 | - |
0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | Oui |
0xC060 | TLS_ECDHE_RSA_WITH_ARIA_128_GCM_SHA256 | ECDHE-ARIA128-GCM-SHA256 | - |
0xC028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDHE-RSA-AES256-SHA384 | Mode dégradé |
0xC077 | TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384 | ECDHE-RSA-CAMELLIA256-SHA384 | - |
0xC027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 | Mode dégradé |
0xC076 | TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 | ECDHE-RSA-CAMELLIA128-SHA256 | - |
0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA | - |
0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA | - |
0x009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | AES256-GCM-SHA384 | - |
0xC0A1 | TLS_RSA_WITH_AES_256_CCM_8 | AES256-CCM8 | - |
0xC09D | TLS_RSA_WITH_AES_256_CCM | AES256-CCM | - |
0xC051 | TLS_RSA_WITH_ARIA_256_GCM_SHA384 | ARIA256-GCM-SHA384 | - |
0x009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | AES128-GCM-SHA256 | - |
0xC0A0 | TLS_RSA_WITH_AES_128_CCM_8 | AES128-CCM8 | - |
0xC09C | TLS_RSA_WITH_AES_128_CCM | AES128-CCM | - |
0xC050 | TLS_RSA_WITH_ARIA_128_GCM_SHA256 | ARIA128-GCM-SHA256 | - |
0x003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | AES256-SHA256 | - |
0x00C0 | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256 | CAMELLIA256-SHA256 | - |
0x003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | AES128-SHA256 | - |
0x00BA | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256 | CAMELLIA128-SHA256 | - |
0x0035 | TLS_RSA_WITH_AES_256_CBC_SHA | AES256-SHA | - |
0x0084 | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA | CAMELLIA256-SHA | - |
0x002F | TLS_RSA_WITH_AES_128_CBC_SHA | AES128-SHA | - |
0x0041 | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA | CAMELLIA128-SHA | - |