1,F5建策略有模版,根本个人经验,第一个策略采用RDP,不要问那么多为什么,就是个人经验。
后续所有策略都是建立在该条策略上,

2,RDP 包含下苏策略,RDP策略是符合PCI标准的(国内一般不流行这个,但是国内很多标准都是抄这个标准的,所以应付一些审计这一条策略就可以了)

F5-ASM-AdvWAF-RDP(Rapid Deloyment template)(三)

3,个人建立第一条策略习惯如下:
版本:V13.1.1.5
F5-ASM-AdvWAF-RDP(Rapid Deloyment template)(三)
F5-ASM-AdvWAF-RDP(Rapid Deloyment template)(三)
F5-ASM-AdvWAF-RDP(Rapid Deloyment template)(三)
F5-ASM-AdvWAF-RDP(Rapid Deloyment template)(三)

4,注意点:
虽然我们选了block,但是还有会有一个地方有staging,只要有staging,哪怕开了block也是不会阻断的(我只找到一个地方,其他地方如果还有不要奇怪,毕竟这是F5)。
staging后面会单独讲,做精细策略分步上策略时候很有用。
这个地方staging要单独关,
F5-ASM-AdvWAF-RDP(Rapid Deloyment template)(三)

5,关联log,测试我们log all requests,生产log illegal,发到外部日志,
F5-ASM-AdvWAF-RDP(Rapid Deloyment template)(三)

6,触法第一个block
RDP 默认只支持get,post,head三种 http method。用Fiddle 用put请求,并看log
F5-ASM-AdvWAF-RDP(Rapid Deloyment template)(三)
F5-ASM-AdvWAF-RDP(Rapid Deloyment template)(三)

其中一个block原因是put请求方式;
Fiddle是非browser,所以也报警