Ochrana – filtry a GeoIP

Tento článek se zabývá funkcemi Filtry a GeoIP služby WEDOS Protection. Nastavení webového aplikačního firewallu ( WAF) najdete v sekcích WAF a Kombinovaná pravidla.

V tomto článku se dozvíte:

Funkce WEDOS Protection

Proxy servery WEDOS Protection využívají k ochraně vašeho webu následující funkce:

  • Filtry: Pomocí filtrů systém blokuje širokou škálu typů hrozeb. Můžete také filtrovat provoz směřující na konkrétní adresy URL na vaší doméně. Chcete-li se dozvědět více, podívejte se na stránku Filtry.
  • GeoIP: Tato funkce rozšiřuje filtry a umožňuje povolit nebo zablokovat příchozí požadavky z IP adres podle země. Chcete-li se dozvědět více, podívejte se na GeoIP.

Tyto funkce jsou ve výchozím nastavení v režimu umělé inteligence. To znamená, že jakákoli událost rozpoznaná jako hrozba automaticky informuje celý systém o tom, jak s ní naložit. Uživatelé s předplaceným tarifem Expert a vyšším mohou kromě režimu AI povolit i vlastní nastavení.

Bezpečnostní funkci AI Mode nelze vypnout.

Nastavení funkce ochrany

Chcete-li získat přístup k nastavení funkce, postupujte podle následujících kroků:

  1. Přihlaste se do globálního panelu správce systému WEDOS ⧉.
  2. Vyberte doménu nebo šablonu, kterou chcete nastavit.
  3. V levém menu vyberte funkci, kterou chcete nastavit.
Filtry a možnosti GeoIP v nabídce domény WGP
Filtry a možnosti GeoIP v nabídce domény WGP

Filtry

Služba WEDOS Protection v současné době využívá následující filtry:

  • Filtr IP: Proxy server blokuje provoz přicházející ze zde uvedených IP adres nebo rozsahů a nedosáhne na váš webový server. Tento filtr je užitečný zejména v případě, že útok přichází z jedné IP adresy nebo malé podsítě.
  • Filtr ASN: Kromě IP adres můžete blokovat také provoz z vybraných čísel autonomních systémů. Autonomní systém (AS) je skupina jednoho nebo více IP prefixů provozovaná jedním nebo více síťovými operátory, která udržuje jedinou, jasně definovanou směrovací politiku. Provozovatelé sítí musí mít ASN, aby mohli řídit směrování v rámci svých sítí a vyměňovat si směrovací informace s ostatními poskytovateli internetových služeb.
  • Filtr uživatelského agenta: Uživatelský agent identifikuje typ aplikace, operačního systému nebo jiné entity, která žádá o přístup k webovému serveru. Obvykle se identifikují pomocí User-Agent záhlaví. Útočníci mohou tuto hlavičku podvrhnout a vydávat se za jiného klienta (agent spoofing).
  • Filtr URL: Tento filtr nastaví chráněné adresy URL na vaší doméně a zablokuje veškerý příchozí provoz na filtrované adresy. V tomto ohledu funguje jinak než výše uvedené filtry.
  • Filtr otisků JA4 TLS: Otisk JA4 se vytváří na úrovni terminace TLS a umožňuje klasifikaci celého klientského stacku, nikoli pouze hlavičky. Díky konzistentnímu zachycování a hashování těchto charakteristik získáte stabilní otisk, který je vázán na technologický stack klienta (knihovna TLS, operační systém, runtime), nikoli na jeho vlastní deklarovanou identitu. Tento filtr je obzvláště užitečný pro zamezení falešných poplachů.
  • Filtr HTTP otisků JA4H: Funguje stejně jako filtr JA4, ale vychází z HTTP požadavku klienta. Tento filtr je obzvláště užitečný pro odhalování botů, které se na úrovni TLS tváří jako běžný prohlížeč, ale na úrovni HTTP se prozradí.
  • Filtr Referer: Hlavička HTTP Referer udává stránku nebo doménu, ze které byl odeslán aktuální požadavek. Hodí se k blokování referenčního spamu, programů na kopírování obsahu nebo provozu pocházejícího ze známých škodlivých či nežádoucích domén. Často se používá k zamezení hotlinkingu (kdy jiné weby přímo vkládají vaše obrázky, videa nebo soubory) a k zastavení falešného provozu z odkazujících stránek, který zkresluje analytické údaje.
  • Filtr typu obsahu: Hlavička HTTP Content-Type udává formát těla požadavku (např. application/json, multipart/form-data, application/x-www-form-urlencoded, text/xml). To se hodí k omezení vaší aplikace nebo API pouze na ty typy dat, které očekává – například k zablokování nahrávání souborů na koncových bodech, které by měly přijímat pouze JSON, k odmítnutí XML/SOAP u API určených výhradně pro JSON nebo k zablokování nesprávně formátovaných a neobvyklých typů obsahu, které běžně generují automatizované nástroje a skenery zranitelností.
  • Filtr podle kategorie IP: Filtruje provoz na základě typu sítě, ke které zdrojová IP adresa patří, nikoli na základě samotné IP adresy. WGP klasifikuje každou IP adresu klienta do kategorií, jako jsou datová centra / poskytovatelé hostingu, rezidenční poskytovatelé internetových služeb, mobilní operátoři, TOR / VPN / anonymizující proxy, prohledávače vyhledávačů a podobné skupiny. To vám umožňuje aplikovat široká pravidla založená na záměru, aniž byste museli spravovat jednotlivé seznamy IP adres – například povolovat rezidenční a ověřený provoz vyhledávačů, omezovat provoz datových center a zcela blokovat provoz TOR/VPN.
  • Filtr GeoIP: Protože většina IP adres nese také informaci o tom, které zemi jsou přiděleny, můžete rychle filtrovat celou zemi. Vzhledem k rozsáhlému nastavení má filtr GeoIP vlastní sekci.

Při přístupu z prohlížeče se u blokovaných zařízení zobrazí chybová stránka s odmítnutím přístupu. V opačném případě blokovaný obsah vrátí chybu 456.

U tarifů Start a Advanced jsou všechny filtry dostupné pouze v režimu AI. Chcete-li přidat vlastní IP adresy, ASN, user agenty a chráněné URL adresy, přejděte na tarif Expert. To vám umožní povolit, blokovat nebo vyžadovat ověření platnosti u nastavených filtrů.

GeoIP

GeoIP je typ filtru, který umožňuje nastavit konkrétní pravidla pro jednotlivé země vybrané na mapě. Kromě řízení přístupu (povolení nebo blokování provozu) může filtr GeoIP také určovat, kde se má jako ochranné opatření použít mechanismus Proof of Work.

U tarifů Start a Advanced je služba GeoIP k dispozici pouze v režimu AI. Chcete-li odemknout rozhraní pro správu (mapu), přejděte na tarif Expert.

Chcete-li nastavit vlastní pravidla GeoIP, přejděte do rozhraníGeoIP na stránce příslušné domény a postupujte podle následujících kroků:

  1. Povolit vlastní geoIP.
  2. Vyberte region (kontinent nebo zemi) pomocí rozevíracího seznamu nebo mapy.
  3. Vyberte pro daný region jednu z následujících akcí a klikněte Odeslat:
    • Povolit přístup / Seznam povolených adres: Žádné blokování na základě GeoIP.
    • Ověření pomocí CAPTCHA (Proof of Work): Vyžadujte od návštěvníků, aby splnili úkol (Proof of Work, např. CAPTCHA).
    • Blokovat s chybovou zprávou (HTTP 456): Provoz vždy blokovat, ale zobrazit přizpůsobitelnou chybovou zprávu.
    • Tiché blokování: Blokuje provoz a vrátí pouze kód chyby.
  4. Vyberte výchozí akci pro všechny ostatní regiony.
  5. Klikněte na tlačítko „Uložit nastavení “ a poté na „Potvrdit“.
Příklad nastavení GeoIP – povolit Evropu, blokovat (s chybovou stránkou) všechny ostatní kontinenty
Příklad nastavení GeoIP – povolit Evropu, blokovat (s chybovou stránkou) všechny ostatní kontinenty

ČASTO KLADENÉ DOTAZY

Jak vypnu funkci AUTO AI u funkcí služby Protection?

Funkce AUTO AI je vždy zapnutá. V uživatelském režimu můžete přidat vlastní pravidla, ale AI nelze vypnout.

Bylo to užitečné?

Děkujeme za váš názor!
Obecné selektory
Pouze přesné shody
Vyhledávání v názvu
Vyhledávání v obsahu
Výběr typu příspěvku
Článek TOC
Procházet kategorie