V tomto článku se dozvíte:
Nouzový režim
Režim nouzového provozu určuje, jak služba WEDOS Protection zpracovává příchozí provoz pro danou doménu na globální úrovni. Pomocí jediného rozevíracího seznamu lze nastavit, zda se mají pravidla ochrany uplatňovat jako obvykle, pouze zaznamenávat, nebo nahradit přísnějšími opatřeními pro řešení incidentů.
Změna režimu ochrany se vztahuje na celou konfiguraci domény. Neodstraňuje ani nepřepíše jednotlivé filtry ani kombinovaná pravidla. Místo toho mění způsob, jakým se tato pravidla chovají na proxy serveru.
Dostupné režimy
Služba WEDOS Protection v současné době podporuje následujících pět režimů:
| Režim | Chování |
|---|---|
| Normální (Vypnuto) | Není aktivován žádný nouzový režim. Doména běží v plném normálním režimu ochrany, přičemž jsou aktivní všechny filtry, omezení rychlosti a pravidla CMS. Doporučeno pro produkční prostředí. |
| Pod útokem, měkký | Zvýšená úroveň ověřování v kombinaci s přísnějšími limity pro počet požadavků. Určeno pro aktivní útoky na úrovni L7, kdy je třeba provádět důkladnější filtrování a zároveň zachovat dostupnost webu pro oprávněné uživatele. |
| Obchvat | Ochranná pravidla jsou obejita a provoz je přesměrován na zdroj s omezeným filtrováním. To se hodí při vyšetřování podezření na falešný poplach ve vašich ochranných pravidlech. |
| Pouze protokol | Filtry a pravidla se vyhodnocují, ale nemají vliv na provoz. Akce se zaznamenávají jako položky protokolu, které lze prohlížet v Grafaně. Tuto funkci lze využít k ověření pravidel nebo k auditu stávající ochrany. |
| Úplný pokles | Všechna příchozí TCP připojení jsou na okraji proxy bez upozornění přerušena. Návštěvníkům se zobrazí hlášení o vypršení časového limitu připojení. Izolace jako poslední možnost. |
Další informace o režimech najdete v kapitole „Příručka k režimům “.
Nastavení nouzového režimu
Chcete-li změnit aktivní nouzový režim pro doménu, postupujte takto:
- Přihlaste se do administrace WEDOS Global ⧉.
- Vyberte doménu (nebo šablonu), kterou chcete nastavit.
- Otevřete rozevírací nabídku s názvem „Nouzový režim služby “ v horní části ovládacího panelu domény a vyberte režim, který chcete aktivovat.
- Změnu potvrďte v dialogovém okně.
Nový režim se na okraji proxy sítě aktivuje během několika sekund.
Aktuální aktivní režim se vždy zobrazuje jako název rozevíracího seznamu.
Chcete-li rychle nastavit určitý režim pro velký počet domén, vytvořte šablonu s tímto režimem.
Návrat k běžné ochraně
Chcete-li se vrátit k plné ochraně produkčního prostředí, vyberte v rozevíracím seznamu možnost Deaktivovat a změnu potvrďte. Deaktivací nouzového režimu se všechny filtry, omezení rychlosti a pravidla CMS vrátí do stavu, kdy jsou aktivně vynucovány. Veškerá pravidla, která byla přidána nebo upravena v době, kdy byla doména v jiném režimu, se začnou uplatňovat, jakmile bude aktivována normální ochrana.
Režim Ruční
Níže uvedený seznam popisuje typické situace, pro které jsou jednotlivé režimy určeny. Obecně platí, že doména by měla být většinu času provozována v normálním režimu. Ostatní režimy používejte pouze záměrně a pro konkrétní účel a jakmile tento účel splníte, přepněte režim zpět na normální.
Normální (Vypnuto)
Toto je výchozí nastavení v produkčním prostředí a mělo by být vždy aktivní, pokud neexistuje konkrétní důvod k jeho změně. Běžná ochrana zahrnuje kompletní sadu ochranných mechanismů na úrovních L3, L4 a L7 spolu s jakýmikoli vlastními pravidly, která jste nakonfigurovali.
Pod útokem, měkký
Funkci „Under Attack, Soft“ použijte v případě, že je doména terčem cíleného útoku, ale přesto chcete zachovat dostupnost služby pro oprávněné uživatele. Brána ověřování je zabezpečená a limity pro počet požadavků jsou zpřísněny, takže klient, který neprojde ověřením nebo překročí snížené limity, je odfiltrován ještě předtím, než se požadavek dostane k serveru.
Obchvat
Funkci Bypass použijte v případě, že máte podezření, že některé pravidlo ochrany blokuje legitimní provoz, a potřebujete toto omezení během šetření rychle zrušit. Provoz je přesměrován na zdroj s omezeným filtrováním, díky čemuž zůstane web dostupný, zatímco vy izolujete pravidlo způsobující falešný poplach. Jakmile šetření dokončíte a ochranu odpovídajícím způsobem upravíte, přepněte doménu zpět do režimu Normal.
Pouze protokol
Režim „Pouze protokolování“ použijte pouze v případě, že s WGP začínáte poprvé a chcete si udělat přehled o svém provozu, abyste mohli určit potřebnou úroveň ochrany, vyhodnotit nastavení filtrů nebo WAF, nebo pokud chcete provést audit stávající ochrany, aniž byste ovlivnili provoz. Filtry a pravidla provoz vyhodnocují, ale neblokují. Výsledné akce se zaznamenají do protokolu, který můžete použít k ověření potřebnosti filtrů a pravidel před jejich aktivací v normálním režimu.
Úplný pokles
Režim „Full Drop“ používejte pouze jako krajní řešení pro izolaci. Veškerá příchozí TCP připojení jsou na okraji proxy bez upozornění přerušena, což znamená, že návštěvníci namísto jakékoli odpovědi zaznamenají vypršení časového limitu připojení. Tento režim je vhodný pouze v případě, že žádný jiný režim nestačí, například při závažné události, kdy je jakýkoli provoz směrem k původnímu serveru nepřijatelný.
ČASTO KLADENÉ DOTAZY
Jak zjistím, který režim je na mé doméně aktivní?
V rozevíracím seznamu se zobrazuje aktuální režim. Pokud se nejedná o normální režim a právě neprovádíte testování ani nejste terčem útoku, vyberte možnost Deaktivovat, abyste se vrátili do normálního režimu.
Zmaže nebo přepíše změna režimu ochrany moje filtry a kombinovaná pravidla?
Ne. Vaše filtry a kombinovaná pravidla zůstávají v konfiguraci beze změny. Režim ochrany pouze mění způsob, jakým se tato pravidla chovají při spuštění. Návrat do normálního režimu ochrany obnoví plné uplatňování všech pravidel přesně tak, jak byla nakonfigurována.
Jak rychle se projeví změna režimu?
Jakmile potvrdíte dialogové okno, nový režim se během několika sekund promítne do okrajového proxy serveru. Není třeba provádět žádné změny v nastavení DNS ani restartovat systém.
Mohu přepnout přímo z jednoho režimu do druhého, aniž bych se nejprve vrátil do normálního režimu?
Ano. Mezi libovolnými dvěma režimy můžete přecházet přímo. Každý přechod je však třeba potvrdit. Můžete například přejít z režimu „Under Attack, Soft“ do režimu „Full Drop“, pokud se situace vyhrotí, a po jejím skončení se vrátit zpět do režimu „Deactivate “.
Mám nechat funkce „Under Attack“ a „Soft“ trvale aktivní kvůli větší bezpečnosti?
Ne. Režim „Under Attack, Soft“ je určen pro řešení aktuálních incidentů a využívá přísnější prahové hodnoty a přísnější ověřovací bránu, což může v průběhu času negativně ovlivnit oprávněné uživatele. Doporučeným výchozím nastavením pro produkční prostředí je režim „Deactivate“, který již využívá kompletní sadu ochranných opatření WGP. Režim „Under Attack, Soft“ používejte pouze v případě, že máte důkazy o cíleném útoku.
Pokud aktivuji funkci Full Drop, uvidí návštěvníci chybovou stránku WEDOS Protection?
Ne. Funkce Full Drop tiše odmítá všechna příchozí TCP připojení na okraji proxy, takže se nevytvoří žádná HTTP odpověď. Návštěvníkům se v prohlížeči zobrazí časový limit připojení nebo resetování připojení, nikoli stránka WEDOS Protection. Jedná se o záměrné chování a je to jeden z důvodů, proč je režim Full Drop vyhrazen jako krajní řešení.