Dieser Artikel befasst sich mit den Filter- und GeoIP-Funktionen von WEDOS Protection. Informationen zu den Einstellungen der Web Application Firewall finden Sie unter „WAF“ und „Combo-Regeln“.
In diesem Artikel erfahren Sie mehr:
WEDOS-Schutzfunktionen
Um Ihr Internet zu schützen, verwenden die WEDOS Protection Proxy Server die folgenden Funktionen:
- Filter: Mit Hilfe von Filtern blockiert das System eine breite Palette von Bedrohungen. Sie können auch Datenverkehr filtern, der an bestimmte URLs auf Ihrer Domäne gerichtet ist. Weitere Informationen finden Sie unter Filter.
- GeoIP: Diese Funktion erweitert die Filter und ermöglicht es Ihnen, eingehende Anfragen von IP-Adressen nach Land zuzulassen oder zu blockieren. Weitere Informationen finden Sie unter GeoIP.
Diese Funktionen befinden sich standardmäßig im KI-Modus. Das bedeutet, dass jedes Ereignis, das als Bedrohung erkannt wird, automatisch in die Entscheidungen des gesamten Systems einfließt, wie es zu behandeln ist. Benutzer mit dem Expert-Abonnementplan und höher können neben dem KI-Modus auch benutzerdefinierte Einstellungen aktivieren.
Die Sicherheitsfunktion AI-Modus kann nicht deaktiviert werden.
Einrichtung der Schutzfunktion
Gehen Sie folgendermaßen vor, um auf die Funktionseinstellungen zuzugreifen:
- Loggen Sie sich in das WEDOS Global Admin Panel ⧉ ein.
- Wählen Sie eine Domäne oder eine Vorlage aus, die Sie einrichten möchten.
- Wählen Sie im linken Menü die Funktion aus, die Sie einrichten möchten.
Filter
WEDOS Protection verwendet derzeit die folgenden Filter:
- IP-Filter: Der Verkehr, der von den hier aufgeführten IP-Adressen oder IP-Bereichen kommt, wird vom Proxy blockiert und erreicht Ihren Webserver nicht. Dieser Filter ist besonders hilfreich, wenn ein Angriff von einer einzelnen IP-Adresse oder einem kleinen Subnetz ausgeht.
- ASN-Filter: Zusätzlich zu den IP-Adressen können Sie auch den Verkehr von ausgewählten Autonomen Systemnummern blockieren. Ein Autonomes System (AS) ist eine Gruppe von einem oder mehreren IP-Präfixen, die von einem oder mehreren Netzbetreibern betrieben wird und die eine einzige, klar definierte Routing-Richtlinie unterhält. Die Netzbetreiber müssen über eine ASN verfügen, um das Routing innerhalb ihrer Netze zu steuern und um Routing-Informationen mit anderen ISPs auszutauschen.
- Benutzer-Agent-Filter: Ein User Agent identifiziert die Art der Anwendung, des Betriebssystems oder einer anderen Einheit, die den Zugriff auf Ihren Webserver anfordert. Sie identifizieren sich normalerweise mit dem
User-AgentHeader. Angreifer können diesen Header fälschen, um sich als ein anderer Client auszugeben (Agent Spoofing). - URL-Filter: Dieser Filter richtet geschützte URLs auf Ihrer Domäne ein und blockiert jeglichen eingehenden Verkehr zu den gefilterten Adressen. In dieser Hinsicht funktioniert er anders als die oben genannten Filter.
- JA4 TLS-Fingerabdruckfilter: Ein JA4-Fingerabdruck wird auf der TLS-Terminierungsschicht erstellt und ermöglicht die Klassifizierung des gesamten Client-Stacks und nicht nur des Headers. Durch die konsistente Erfassung und Hash-Berechnung dieser Merkmale erhalten Sie einen stabilen Fingerabdruck, der an den Technologie-Stack des Clients (TLS-Bibliothek, Betriebssystem, Laufzeitumgebung) gebunden ist und nicht an dessen selbst deklarierte Identität. Dieser Filter ist besonders hilfreich, um Fehlalarme zu vermeiden.
- JA4H-HTTP-Fingerabdruckfilter: Dieser Filter entspricht dem JA4-Filter, basiert jedoch auf der HTTP-Anfrage eines Clients. Er eignet sich besonders gut, um Bots zu erkennen, die auf TLS-Ebene einem Browser ähneln, sich jedoch auf der HTTP-Ebene verraten.
- Referrer-Filter: Der HTTP-Header „Referer“ gibt die Seite oder Domain an, von der aus auf die aktuelle Anfrage verwiesen wurde. Nützlich zum Blockieren von Referrer-Spam, Content-Scrapern oder Traffic, der von bekannten bösartigen oder unerwünschten Domains stammt. Wird häufig eingesetzt, um Hotlinking (das direkte Einbetten Ihrer Bilder, Videos oder Inhalte durch andere Websites) zu verhindern und gefälschten Referrer-Traffic zu unterbinden, der dazu dient, Analysedaten zu verfälschen.
- Content-Type-Filter: Der HTTP-Header „Content-Type“ gibt das Format des Anfragetextes an (z. B.
application/json,multipart/form-data,application/x-www-form-urlencoded,text/xml). Nützlich, um Ihre Anwendung oder API auf die erwarteten Payload-Typen zu beschränken – beispielsweise um Datei-Uploads an Endpunkten zu blockieren, die nur JSON empfangen sollen, XML/SOAP bei reinen JSON-APIs abzulehnen oder fehlerhafte und ungewöhnliche Inhaltstypen zu unterbinden, die häufig von automatisierten Tools und Exploit-Scannern erzeugt werden. - IP-Kategoriefilter: Filtert den Datenverkehr anhand der Art des Netzwerks, zu dem die Quell-IP gehört, und nicht anhand der IP-Adresse selbst. WGP klassifiziert jede Client-IP in Kategorien wie Rechenzentrum/Hosting-Anbieter, privater Internetdienstanbieter, Mobilfunkanbieter, TOR/VPN/anonymisierender Proxy, Suchmaschinen-Crawler und ähnliche Gruppen. So können Sie weit gefasste, absichtsbasierte Regeln anwenden, ohne einzelne IP-Listen pflegen zu müssen – beispielsweise indem Sie Datenverkehr von Privatanwendern und verifizierten Suchmaschinen zulassen, Datenverkehr aus Rechenzentren überprüfen und TOR-/VPN-Datenverkehr direkt ablehnen.
- GeoIP-Filter: Da die meisten IP-Adressen auch die Information enthalten, welchem Land sie zugewiesen sind, können Sie schnell nach einem ganzen Land filtern. Wegen seiner umfangreichen Einrichtung hat der GeoIP-Filter einen eigenen Bereich.
Beim Zugriff über einen Browser wird bei gesperrten Geräten eine Fehlerseite "Zugriff verweigert" angezeigt. Andernfalls gibt der gesperrte Inhalt einen Fehler 456 zurück.
Bei den Abonnementmodellen „Start“ und „Advanced“ sind alle Filter ausschließlich im KI-Modus verfügbar. Um eigene IP-Adressen, ASN, User Agents und geschützte URLs hinzuzufügen, führen Sie ein Upgrade auf das „Expert“-Modell durch. Dadurch können Sie die von Ihnen festgelegten Filterelemente zulassen, blockieren oder einen Arbeitsnachweis dafür verlangen.
GeoIP
GeoIP ist eine Filterart, mit der Sie spezifische Regeln für bestimmte Länder festlegen können, die Sie auf einer Karte auswählen. Neben der Zugriffskontrolle (Zulassen oder Blockieren von Datenverkehr) kann der GeoIP-Filter auch steuern, wo Proof of Work als Schutzmaßnahme eingesetzt wird.
Bei den Abonnementmodellen „Start“ und „Advanced“ ist GeoIP nur im KI-Modus verfügbar. Um die Verwaltungsoberfläche (Karte) freizuschalten, führen Sie ein Upgrade auf das „Expert“-Modell durch.
Um benutzerdefinierte GeoIP-Regeln einzurichten, rufen Sie dieGeoIP- Oberfläche unter für eine Domain auf und führen Sie die folgenden Schritte aus:
- Aktivieren Sie Benutzerdefinierte GeoIP.
- Wählen Sie über das Dropdown-Menü oder die Karte eine Region (Kontinent oder Land) aus.
- Wählen Sie eine der folgenden Aktionen für diese Region aus und klicken Sie auf Einreichen:
- Zugriff zulassen / Whitelist: Keine Sperrung aufgrund der geografischen IP-Adresse.
- CAPTCHA-Überprüfung (Proof of Work): Besucher müssen eine Aufgabe lösen (Proof of Work, z. B. CAPTCHA).
- Blockieren mit Fehlermeldung (HTTP 456): Datenverkehr immer blockieren, aber eine individuell anpassbare Fehlermeldung anzeigen.
- Stillschweigend blockieren: Datenverkehr blockieren, nur Fehlercode zurückgeben.
- Standardaktion für alle anderen Regionen auswählen.
- Klicken Sie auf die Schaltfläche „Einstellungen speichern“ und bestätigen Sie.
FAQ
Wie kann ich AUTO AI bei den Schutzfunktionen deaktivieren?
AUTO AI ist immer aktiviert. Sie können im benutzerdefinierten Modus Ihre eigenen Regeln hinzufügen, aber die KI kann nicht deaktiviert werden.