In diesem Artikel erfahren Sie mehr:
- So funktioniert der Notfallmodus
- So ändern Sie den aktiven Modus
- Wann sollte welcher Modus verwendet werden?
- Häufig gestellte Fragen
Notfallmodus
Der Notfallmodus legt fest, wie WEDOS Protection den eingehenden Datenverkehr für eine Domain auf globaler Ebene verarbeitet. Über ein einziges Dropdown-Menü lässt sich festlegen, ob Schutzregeln wie gewohnt durchgesetzt, nur protokolliert oder durch strengere Maßnahmen zur Reaktion auf Vorfälle ersetzt werden sollen.
Die Änderung des Schutzmodus wirkt sich auf die gesamte Domänenkonfiguration aus. Dabei werden einzelne Filter oder Kombinationsregeln weder gelöscht noch überschrieben. Stattdessen wird das Verhalten dieser Regeln auf dem Proxy angepasst.
Verfügbare Modi
WEDOS Protection unterstützt derzeit die folgenden fünf Modi:
| Modus | Verhalten |
|---|---|
| Normal (Deaktivieren) | Es ist kein Notfallmodus aktiv. Die Domain läuft im vollständigen Normal-Schutzmodus, wobei alle Filter, Ratenbegrenzungen und CMS-Regeln angewendet werden. Empfohlen für den Produktivbetrieb. |
| Unter Beschuss, Soft | Ein verstärktes Challenge-Gate in Kombination mit strengeren Ratenbegrenzungen. Konzipiert für aktive L7-Angriffe, bei denen Sie eine strengere Filterung anwenden möchten, während die Website für legitime Nutzer weiterhin erreichbar bleibt. |
| Umgehung | Die Schutzregeln werden umgangen und der Datenverkehr wird mit reduzierter Filterung an die Quelle weitergeleitet. Dies ist nützlich, wenn Sie einen vermuteten Fehlalarm in Ihren Schutzregeln untersuchen möchten. |
| Nur Protokoll | Filter und Regeln werden ausgewertet, haben jedoch keinen Einfluss auf den Datenverkehr. Aktionen werden zu Protokolleinträgen, die in Grafana eingesehen werden können. Verwenden Sie diese Funktion, um Regeln zu überprüfen oder den bestehenden Schutz zu analysieren. |
| Vollständiger Fall | Alle eingehenden TCP-Verbindungen werden am Proxy-Rand stillschweigend abgebrochen. Besucher erhalten die Meldung, dass die Verbindung abgelaufen ist. Isolierung als letztes Mittel. |
Weitere Informationen zu den Modi finden Sie im Kapitel „Modus-Handbuch “.
Einrichtung des Notfallmodus
Um den aktiven Notfallmodus für eine Domäne zu ändern, gehen Sie wie folgt vor:
- Loggen Sie sich in das WEDOS Global Admin-Panel ein ⧉.
- Wählen Sie eine einzurichtende Domäne (oder Vorlage).
- Öffnen Sie das Dropdown-Menü mit der Bezeichnung „ -Notfallmodus“ oben im Domain-Dashboard und wählen Sie den Modus aus, den Sie aktivieren möchten.
- Bestätigen Sie die Änderung im Dialogfenster.
Der neue Modus wird innerhalb von Sekunden am Proxy-Edge wirksam.
Der aktuell aktive Modus wird immer als Bezeichnung des Dropdown-Menüs angezeigt.
Um einen bestimmten Modus schnell für eine große Anzahl von Domains festzulegen, erstellen Sie eine Vorlage, in der dieser Modus aktiviert ist.
Zurück zum normalen Schutz
Um zum vollständigen Produktionsschutz zurückzukehren, wählen Sie im Dropdown-Menü die Option „Deaktivieren“ aus und bestätigen Sie die Änderung. Durch die Deaktivierung des Notfallmodus werden alle Filter, Ratenbegrenzungen und CMS-Regeln wieder in ihren aktiven Zustand versetzt. Alle Regeln, die hinzugefügt oder geändert wurden, während sich die Domain in einem anderen Modus befand, werden angewendet, sobald der normale Schutz aktiv ist.
Modus: Manuell
Die folgende Liste beschreibt die typischen Anwendungsfälle, für die die einzelnen Modi vorgesehen sind. Grundsätzlich sollte eine Domäne die meiste Zeit im Normalmodus betrieben werden. Setzen Sie andere Modi bewusst für einen bestimmten Zweck ein und stellen Sie den Modus wieder auf „Normal“ zurück, sobald dieser Zweck erfüllt ist.
Normal (Deaktivieren)
Dies ist die Standardkonfiguration in der Produktion und sollte stets aktiv sein, sofern kein besonderer Grund für eine Änderung vorliegt. Der normale Schutz umfasst den vollständigen Schutzstapel für die Schichten L3, L4 und L7 sowie alle von Ihnen konfigurierten benutzerdefinierten Regeln.
Unter Beschuss, Soft
Verwenden Sie „Under Attack, Soft“, wenn die Domain Ziel eines gezielten Angriffs ist, Sie den Dienst aber dennoch für legitime Nutzer verfügbar halten möchten. Das Challenge-Gate wird abgesichert und die Ratenbegrenzungen verschärft, sodass ein Client, der die Challenge nicht besteht oder die gesenkten Schwellenwerte überschreitet, herausgefiltert wird, bevor die Origin-Server die Anfrage erhalten.
Umgehung
Verwenden Sie „Bypass“, wenn Sie vermuten, dass eine Schutzregel legitimen Datenverkehr blockiert, und Sie diese Einschränkung während der Untersuchung schnell aufheben müssen. Der Datenverkehr wird mit reduzierter Filterung an den Ursprungsserver weitergeleitet, wodurch die Website erreichbar bleibt, während Sie die Regel isolieren, die den Fehlalarm verursacht. Sobald Sie die Untersuchung abgeschlossen und den Schutz entsprechend angepasst haben, stellen Sie die Domain wieder auf „Normal“ zurück.
Nur Protokoll
Verwenden Sie den Protokollmodus nur, wenn Sie zum ersten Mal mit WGP arbeiten und sich einen Überblick über Ihren Datenverkehr verschaffen möchten, um den erforderlichen Schutzgrad zu ermitteln, Filter oder WAF-Einstellungen zu bewerten oder wenn Sie den bestehenden Schutz überprüfen möchten, ohne den Datenverkehr zu beeinträchtigen. Filter und Regeln werden ausgewertet, blockieren den Datenverkehr jedoch nicht. Die daraus resultierenden Aktionen werden zu Protokolleinträgen, anhand derer Sie den Bedarf an Filtern und Regeln überprüfen können, bevor Sie diese im Normalmodus aktivieren.
Vollständiger Fall
Verwenden Sie „Full Drop“ als Isolationsmodus der letzten Instanz. Alle eingehenden TCP-Verbindungen werden am Proxy-Rand stillschweigend abgebrochen, was bedeutet, dass Besucher einen Verbindungszeitüberschritt sehen, anstatt eine Antwort zu erhalten. Dieser Modus ist nur dann geeignet, wenn kein anderer Modus ausreicht, beispielsweise bei einem katastrophalen Vorfall, bei dem jeglicher Datenverkehr zum Ursprungsserver inakzeptabel ist.
FAQ
Wie kann ich feststellen, welcher Modus auf meiner Domain aktiv ist?
Der aktuelle Modus wird im Dropdown-Menü angezeigt. Wenn es sich nicht um den Normalmodus handelt und Sie weder einen Test durchführen noch angegriffen werden, wählen Sie die Option „Deaktivieren“, um zum Normalmodus zurückzukehren.
Werden meine Filter und Kombinationsregeln gelöscht oder überschrieben, wenn ich den Schutzmodus ändere?
Nein. Ihre Filter und Kombinationsregeln bleiben in der Konfiguration unverändert. Der Schutzmodus ändert lediglich, wie sich diese Regeln zur Laufzeit verhalten. Durch die Rückkehr zum normalen Schutzmodus wird die vollständige Durchsetzung aller Regeln genau so wiederhergestellt, wie sie konfiguriert wurden.
Wie schnell tritt eine Modusänderung in Kraft?
Sobald der Bestätigungsdialog bestätigt wurde, wird der neue Modus innerhalb von Sekunden an den Proxy-Edge weitergeleitet. Es sind weder eine Änderung der DNS-Einstellungen noch ein Neustart erforderlich.
Kann ich direkt von einem Modus in den anderen wechseln, ohne zuerst zum Normalmodus zurückzukehren?
Ja. Sie können direkt zwischen zwei beliebigen Modi wechseln. Jeder Wechsel muss jedoch weiterhin bestätigt werden. Sie können beispielsweise von „Unter Beschuss, Soft“ zu „Vollständiger Einsatz“ wechseln, wenn sich ein Vorfall zuspitzt, und anschließend wieder zu „Deaktivieren“ zurückkehren, sobald er beendet ist.
Sollte ich „Under Attack“ und „Soft“ aus Sicherheitsgründen dauerhaft aktiviert lassen?
Nein. „Under Attack, Soft“ ist für aktuelle Vorfälle konzipiert und verwendet strengere Schwellenwerte sowie eine verschärfte Sicherheitsüberprüfung, die sich mit der Zeit auf legitime Benutzer auswirken kann. Die empfohlene Grundeinstellung für die Produktionsumgebung ist „Deactivate“, bei der bereits der vollständige WGP-Schutzstapel ausgeführt wird. Verwenden Sie „Under Attack, Soft“ nur, wenn Sie Hinweise auf einen gezielten Angriff haben.
Wenn ich „Full Drop“ aktiviere, wird den Besuchern dann eine WEDOS Protection-Fehlerseite angezeigt?
Nein. „Full Drop“ bricht alle eingehenden TCP-Verbindungen am Proxy-Rand stillschweigend ab, sodass keine HTTP-Antwort generiert wird. Besucher sehen in ihrem Browser eine Zeitüberschreitung oder einen Verbindungsabbruch, nicht jedoch eine WEDOS-Schutzseite. Dies ist beabsichtigt und einer der Gründe, warum „Full Drop“ als Modus der letzten Wahl reserviert ist.