Tento článek se zabývá funkcemi WAF (Web Application Firewall) a Combo Rules služby WEDOS Protection. Jednorozměrná pravidla najdete v sekcích Filtry a GeoIP.
V tomto článku se dozvíte:
- Jak fungují WAF a kombinovaná pravidla služby WEDOS Protection
- Jak nastavit:
- Případy použití a příklady pravidel pro kombinace
- Často kladené otázky
Pravidla WAF a kombinovaná pravidla
Webová aplikační brána WEDOS Protection (WAF) kontroluje příchozí HTTP/HTTPS požadavky na úrovni proxy a blokuje ty, které odpovídají známým útočným vzorcům (SQL injection, XSS, RCE, path traversal a další hrozby podle klasifikace OWASP), ještě než se dostanou k vašemu původnímu serveru. WAF spolupracuje s filtry a funkcí GeoIP a s ochranou v režimu AI, která je aktivní v celé síti WEDOS Protection.
Kombinovaná pravidla fungují nad rámec WAF a umožňují definovat pokročilá kombinovaná pravidla na úrovni L3–L7 pro jednotlivé domény. Každé pravidlo porovnává více podmínek najednou (IP/ASN, geografická poloha, cesta, User-Agent, JA4, JA4H, metoda HTTP, verze HTTP) a rozhoduje první pravidlo, které splní podmínky. Kombinovaná pravidla jsou užitečná, když jeden filtr není dostatečně specifický – například když chcete povolit známý ASN crawleru pouze na konkrétní cestě nebo blokovat konkrétní otisk TLS pocházející z jedné země.
Pravidla WAF a Combo Rules doplňují, ale nenahrazují filtry a GeoIP. Pravidla filtrů a GeoIP jsou určena pro jednorozměrnou ochranu, zatímco pravidla Combo Rules slouží pro složitější scénáře. Režim AI navíc nadále běží souběžně a nelze jej deaktivovat.
Nastavení pravidel WAF a kombinovaných pravidel
U předplatných Start a Advanced běží WAF pouze v režimu AI a kombinovaná pravidla nejsou k dispozici. Chcete-li mít přístup k výběru režimu WAF a kombinovaným pravidlům, přejděte na předplatné Expert.
Chcete-li otevřít nastavení, postupujte takto:
- Přihlaste se do administrace WEDOS Global ⧉.
- Vyberte doménu (nebo šablonu), kterou chcete nastavit.
- V levém menu klikněte na položku „ “ ( WAF).
Režim WAF
Přepínač režimu WAF určuje sadu pravidel, kterou webová aplikační brána používá pro vybranou doménu. K dispozici jsou tři režimy:
- Pokročilý WAF (kompletní sada pravidel) — výchozí nastavení: Spouští kompletní sadu pravidel WAF, včetně základní ochrany a rozšířených signatur pro útoky na aplikační vrstvě. Doporučeno pro většinu webových stránek a aplikací.
- Základní WAF (pouze základní pravidla): Spouští pouze základní sadu pravidel. Hodí se v případech, kdy úplná sada pravidel způsobuje falešné poplachy u legitimních, ale neobvyklých aplikací a potřebujete menší, konzervativnější sadu podpisů.
- Vypnuto: Úplně vypne vyhodnocování pravidel WAF. Režim AI, filtry, GeoIP a kombinovaná pravidla zůstanou aktivní.
Nastavení režimu WAF na „Vypnuto“ pouze deaktivuje pravidla WAF. Nezruší to režim AI, filtry, GeoIP ani kombinovaná pravidla. Režim WAF deaktivujte pouze v případě, že k tomu máte konkrétní důvod – například při řešení falešných poplachů.
Pravidla pro kombinace
Kombinovaná pravidla představují pokročilá kombinovaná pravidla na úrovních L3–L7. Každé pravidlo se porovnává s více podmínkami a rozhoduje o něm první pravidlo, které splňuje podmínky. Pravidla seřaďte od nejkonkrétnějších po nejobecnější – například nejprve povolte pravidla pro známé a důvěryhodné prohledávače a na konec umístěte blokovací pravidlo pro všechny ostatní.
Pravidla kombinací fungují souběžně s funkcí AUTO AI, která neustále vyhodnocuje provoz na pozadí. Funkci AUTO AI nelze deaktivovat.
Akce
Pokud dojde k shodě s kombinovaným pravidlem, provede se jedna z následujících akcí:
- Povolit přístup / Seznam povolených adres: Obchází všechny ochranné vrstvy a předává požadavek přímo na původní server. Používejte pouze pro důvěryhodný a jednoznačně identifikovatelný provoz (např. ověřený interní monitorovací systém).
- Ověření CAPTCHA (Proof of Work): Před povolením požadavku je třeba provést ověření typu Proof of Work / test proti botům.
- Blokovat s chybovou stránkou (HTTP 456): Blokovat požadavek a vrátit přizpůsobitelnou chybovou stránku se stavovým kódem HTTP 456.
- Tiché blokování (zahození provozu): Požadavek se tiše zahodí. Klient neobdrží žádnou odpověď. Hodí se proti útočnému provozu, kdy nechcete potvrdit, že požadavek dorazil na server.
Odpovídající pole
Každé kombinované pravidlo může porovnávat až devět polí. Jakékoli pole lze nechat prázdné, aby fungovalo jako zástupný znak, a jakékoli pole lze negovat (pomocí ! předpona, je-li podporována, například !as55789). Aby se pravidlo spustilo, všechna vyplněná pole se musí shodovat.
- IP/ASN: Zdrojová IP adresa, rozsah CIDR nebo číslo autonomního systému. Více hodnot lze zadat jako seznam oddělený čárkami (např.
1.2.3.0/24, as12345, !as55789). - Geo: Kód země nebo kontinentu, jak jej používá služba GeoIP.
- Cesta: Cesta URL v doméně (např.
/admin/login). Podporuje přesné i prefixové vyhledávání v závislosti na zvoleném Režim. - User-Agent: Hodnota
User-AgentHlavička HTTP (např.googlebot). Podporuje porovnávání celých řetězců i jejich částí v závislosti na zvoleném Režim. - JA4: Otisk TLS klienta JA4. Hodí se k identifikaci konkrétního TLS stacku klienta nezávisle na jeho vlastním User-Agentu.
- JA4H: HTTP otisk klienta JA4H. Hodí se k odhalování botů, které na úrovni TLS napodobují chování prohlížeče, ale na úrovni HTTP se prozradí.
- Postup: Jedna nebo více metod HTTP, oddělených čárkami (např.
GET, POST). - Verze HTTP: Verze protokolu HTTP použitého v požadavku (např. HTTP/1.1, HTTP/2, HTTP/3).
Přidat kombinované pravidlo
Chcete-li přidat nové kombinované pravidlo, postupujte takto:
- Ujistěte se, že je přepínač „Vlastní pravidla kombinací “ zapnutý.
- Klikněte na tlačítko „Přidat kombinované pravidlo “.
- Vyberte akci, která se má provést, pokud pravidlo splní podmínky.
- Vyplňte pouze ta pole, která potřebujete. Ostatní pole nechte prázdná, aby fungovala jako zástupné znaky.
- Ujistěte se, že je přepínač „Aktivní“ zapnutý, a poté klikněte na tlačítko „Odeslat“.
Každé pravidlo v seznamu lze upravit ( ) nebo smazat ( ) pomocí položky ve sloupci Akce. Pomocí indikátoru Aktivní můžete jednotlivá pravidla zapnout nebo vypnout, aniž byste je museli mazat.
Pravidla kombinace se vyhodnocují v pořadí, přičemž platí první pravidlo, které splňuje podmínky. Konkrétnější pravidla (např. povolit konkrétní ASN na konkrétní trase) umístěte nad obecnější pravidla (např. blokovat celou zemi).
Případy použití a příklady pravidel kombinací
Pravidla kombinace se nejlépe hodí v případech, kdy žádný jednotlivý filtr není dostatečně konkrétní. Několik typických příkladů:
Přidat známý prohledávací robot na seznam povolených podle ASN
Cíl: Umožnit robotu Googlebot volný přístup, i když by jej jiná pravidla jinak blokovala.
Nastavení: Akce Povolit / Seznam povolených, IP/ASN as15169, User-Agent googlebot. Umístěte toto pravidlo nad všechna blokující pravidla.
Omezit koncový bod pouze na metodu POST
Cíl: Koncový bod API by měl přijímat pouze požadavky typu POST; vše ostatní je nežádoucí.
Nastavení: Akce Blokovat s chybovou stránkou (HTTP 456), Cesta /api/submit, Metoda GET, PUT, DELETE, PATCH, HEAD, OPTIONS. Žádosti odeslané metodou POST nebudou porovnány a budou pokračovat jako obvykle.
Vystavit zemi zkoušce na citlivé cestě
Cíl: Umožnit běžné prohlížení stránek z dané země, ale blokovat jakýkoli pokus o přístup do administrátorského panelu.
Nastavení: Akce Ověření CAPTCHA (důkaz práce), Geo cz, Cesta /admin/login.
Náhodně vložit známý otisk útoku
Cíl: Odfiltrovat provoz odpovídající otisku JA4, který byl zaznamenán při předchozím útoku, aniž by útočník dostal jakoukoli zpětnou vazbu.
Nastavení: Akce Tichý blok (odmítnutí provozu), JA4 t13d1516h2_8daaf6152771_....
ČASTO KLADENÉ DOTAZY
Co se stane, když WAF vypnu?
Je deaktivován pouze soubor pravidel WAF. Režim AI, filtry, GeoIP a kombinovaná pravidla nadále fungují. Vaše doména je stále chráněna, avšak bez pravidel na úrovni aplikací založených na signaturách – proto doporučujeme WAF deaktivovat pouze dočasně, například při řešení falešného poplachu.
Kdy je vhodné použít základní WAF namísto pokročilého WAF?
Základní WAF používejte pouze v případě, že pokročilá sada pravidel způsobuje falešné poplachy u legitimní aplikace, kterou nelze upravit na straně zdroje. Základní sada pravidel je konzervativnější a uplatňuje pouze základní pravidla. Pro většinu webových stránek a API je správnou volbou výchozí pokročilý WAF.
Jak funguje řazení pravidel?
Pravidla kombinací se vyhodnocují shora dolů a platí první pravidlo, které splňuje podmínky. Pravidla s konkrétním zacílením (například pravidla povolující známé legitimní roboty nebo důvěryhodné IP adresy) umístěte na začátek seznamu a obecnější pravidla (například blokování na úrovni celé země nebo obecná odmítnutí) pod ně.
Musím vyplnit všechna pole v pravidle Combo Rule?
Ne. Jakékoli nevyplněné pole funguje jako zástupný znak. Pravidlo, u kterého je nastaveno pouze pole Geo = cz, se vztahuje na veškerý provoz z Česka, bez ohledu na IP adresu, cestu, user agent, metodu nebo verzi. Aby se pravidlo spustilo, musí se shodovat všechna vyplněná pole.
Mohu v pravidle Combo Rule použít negaci hodnoty?
Ano. Pole, která přijímají seznamy oddělené čárkami (například IP/ASN), podporují negaci pomocí znaku ! předpona — například, as12345, !as55789 odpovídá kódu AS12345, ale výslovně vylučuje kód AS55789.
V čem se kombinovaná pravidla liší od filtrů?
Filtry se vztahují vždy pouze na jednu dimenzi (jeden seznam IP adres, jeden seznam ASN, jeden seznam User-Agent atd.). Kombinovaná pravidla spojují více dimenzí do jediného pravidla, takže můžete definovat podmínky typu „pouze tento ASN, pouze na této cestě, pouze s touto metodou“, což s jedním filtrem není možné.
Lze u kombinovaných pravidel vypnout funkci AUTO AI?
Ne. Funkce AUTO AI je vždy zapnutá a běží souběžně s vašimi vlastními pravidly pro komba. V režimu vlastních nastavení můžete přidávat vlastní pravidla, ale AI nelze vypnout.