Trabajo para una empresa de seguridad ( Incapsula ) y una de nuestras características de producto es un DDS PCI obediente WAF. Creo que @symcbean ya dio una gran respuesta, así que estoy aquí para agregar un poco de información a la discusión:
¿Importa el orden de las reglas?
@symcbean lo dijo todo.
Cómo se manejan las reglas inconsistentes.
Si te refieres a un escenario en el que varias reglas (relevantes) llegan a conclusiones diferentes, entonces te aconsejo que siempre vaya con el "juicio más severo".
Esto depende de usted, por supuesto. Puede ir por el otro lado e implementar un enfoque más indulgente que evitará más "falsos positivos", pero creo que, para la mayoría, la seguridad es un problema mucho más grande.
Además, un buen conjunto de reglas eliminará la mayoría de los "falsos positivos" y las inconsistencias serán pocas y distantes entre sí.
Para SAAS, debe tener muchas opciones de personalización para anular las reglas predeterminadas del sistema, pero la configuración predeterminada aún debe estar orientada hacia la máxima seguridad.
Cómo se elimina la redundancia del conjunto de reglas
Como se indicó anteriormente, no debería haber redundancia en su conjunto de reglas.
Se pueden omitir las reglas para las firmas estáticas de la capa de aplicación
Sí. Por ejemplo, en Incapsula usamos reglas de optimización de aplicaciones que identifican las aplicaciones y plataformas utilizadas comúnmente y modifican el comportamiento en consecuencia. (es decir, optimización para WP, Joomla, extensiones populares y complementos, etc.) No estoy abogando por la optimización para todos los escenarios posibles aquí (simplemente inefectivo) pero si está pensando en el marketing masivo, al menos debería cubrir las plataformas más comunes / aplicaciones
La mejor de las suertes