Schutz – WAF und Kombinationsregeln

Dieser Artikel befasst sich mit den Funktionen „WAF“ (Web Application Firewall) und „Combo-Regeln“ von WEDOS Protection. Informationen zu eindimensionalen Regeln finden Sie unter „Filter“ und „GeoIP“.

In diesem Artikel erfahren Sie mehr:

WAF- und Kombinationsregeln

Die WEDOS Protection Web Application Firewall (WAF) überprüft eingehende HTTP/HTTPS-Anfragen auf Proxy-Ebene und blockiert diejenigen, die bekannten Angriffsmustern entsprechen (SQL-Injection, XSS, RCE, Path Traversal und andere OWASP-Bedrohungen), bevor sie Ihren Ursprungsserver erreichen. Die WAF arbeitet mit Filtern und GeoIP sowie dem AI-Modus-Schutz zusammen, der im gesamten WEDOS Protection-Netzwerk zum Einsatz kommt.

Kombinationsregeln werden auf der WAF-Ebene angewendet und ermöglichen es Ihnen, erweiterte, kombinierte L3–L7-Regeln pro Domain zu definieren. Jede Regel gleicht mehrere Bedingungen gleichzeitig ab (IP/ASN, Geo, Pfad, User-Agent, JA4, JA4H, HTTP-Methode, HTTP-Version), wobei die erste Regel, die die Bedingungen erfüllt, Vorrang hat. Kombinierte Regeln sind nützlich, wenn ein einzelner Filter nicht spezifisch genug ist – beispielsweise wenn Sie einen bekannten Crawler-ASN nur auf einem bestimmten Pfad zulassen oder einen bestimmten TLS-Fingerabdruck aus einem bestimmten Land blockieren möchten.

Die WAF- und Combo-Regeln ergänzen Filter und GeoIP, ersetzen diese jedoch nicht. Die Filter- und GeoIP-Regeln sind für eindimensionale Schutzmaßnahmen gedacht, während Combo-Regeln für komplexere Szenarien vorgesehen sind. Außerdem läuft der KI-Modus weiterhin parallel und kann nicht deaktiviert werden.

Einrichtung von WAF- und Kombinationsregeln

Bei den Abonnementmodellen „Start“ und „Advanced“ läuft die WAF ausschließlich im KI-Modus, und Kombinationsregeln sind nicht verfügbar. Um Zugriff auf die WAF-Modusauswahl und Kombinationsregeln zu erhalten, führen Sie ein Upgrade auf das „Expert“-Abonnement durch.

Um auf die Einstellungen zuzugreifen, gehen Sie wie folgt vor:

  1. Loggen Sie sich in das WEDOS Global Admin-Panel ein ⧉.
  2. Wählen Sie eine einzurichtende Domäne (oder Vorlage).
  3. Klicken Sie im linken Menü auf „ -WAF“.
Übersicht über die WAF-Einstellungen im WGP-Dashboard
Übersicht über die WAF-Einstellungen im WGP-Dashboard

WAF-Modus

Der WAF-Modus -Wahlschalter steuert den Regelsatz, den die Web Application Firewall für die ausgewählte Domain verwendet. Es stehen drei Modi zur Verfügung:

  • Erweiterte WAF (vollständiger Regelsatz) – Standard: Führt den vollständigen WAF-Regelsatz aus, einschließlich Kernschutzfunktionen und erweiterter Signaturen für Angriffe auf Anwendungsebene. Empfohlen für die meisten Websites und Anwendungen.
  • Einfache WAF (nur Kernregeln): Führt nur den Kernregelsatz aus. Dies ist nützlich, wenn der vollständige Regelsatz bei einer legitimen, aber ungewöhnlichen Anwendung Fehlalarme auslöst und Sie einen kleineren, konservativeren Satz von Signaturen benötigen.
  • Deaktiviert: Die Auswertung der WAF-Regeln wird vollständig deaktiviert. Der KI-Modus, Filter, GeoIP und Kombinationsregeln bleiben aktiv.
WAF-Moduswahlschalter mit den drei verfügbaren Modi
WAF-Moduswahlschalter mit den drei verfügbaren Modi

Wenn Sie den WAF-Modus auf „Deaktiviert“ setzen, werden lediglich die WAF-Regeln deaktiviert. Der KI-Modus, Filter, GeoIP und Kombinationsregeln bleiben dabei aktiv. Deaktivieren Sie den WAF nur, wenn Sie einen bestimmten Grund dafür haben – beispielsweise bei der Fehlerbehebung im Zusammenhang mit Fehlalarmen.

Kombinationsregeln

Kombinationsregeln sind erweiterte kombinierte L3–L7-Regeln. Jede Regel wird anhand mehrerer Bedingungen abgeglichen, wobei die erste übereinstimmende Regel Vorrang hat. Ordnen Sie die Regeln von der spezifischsten zur allgemeinsten an – lassen Sie beispielsweise zunächst Regeln für bekanntermaßen vertrauenswürdige Crawler zu und platzieren Sie eine pauschale Sperre ganz am Ende.

Die Kombinationsregeln laufen parallel zur AUTO-KI, die den Datenverkehr stets im Hintergrund auswertet. Die AUTO-KI kann nicht deaktiviert werden.

Liste der Kombinationsregeln bei aktivierter automatischer KI und benutzerdefinierten Kombinationsregeln
Liste der Kombinationsregeln bei aktivierter automatischer KI und benutzerdefinierten Kombinationsregeln

Aktionen

Wenn eine Kombinationsregel zutrifft, wird eine der folgenden Aktionen ausgeführt:

  • Zugriff zulassen / Whitelist: Umgehen Sie alle Schutzebenen und leiten Sie die Anfrage direkt an den Ursprungsserver weiter. Verwenden Sie diese Option nur für vertrauenswürdigen, eindeutig identifizierten Datenverkehr (z. B. ein verifiziertes internes Überwachungssystem).
  • CAPTCHA-Überprüfung (Proof of Work): Führen Sie einen Proof of Work bzw. eine Bot-Überprüfung durch, bevor die Anfrage zugelassen wird.
  • Anfrage blockieren und Fehlerseite anzeigen (HTTP 456): Die Anfrage wird blockiert und eine anpassbare Fehlerseite mit dem HTTP-Status 456 zurückgegeben.
  • Stillschweigend blockieren (Datenverkehr verwerfen): Die Anfrage wird stillschweigend verworfen. Der Client erhält keine Antwort. Nützlich bei Angriffsverkehr, bei dem nicht bestätigt werden soll, dass die Anfrage den Server erreicht hat.

Übereinstimmende Felder

Jede Kombinationsregel kann auf bis zu neun Felder abgeglichen werden. Jedes Feld kann leer gelassen werden, um als Platzhalter zu dienen, und jedes Feld kann negiert werden (mithilfe eines ! Präfix, sofern unterstützt, wie zum Beispiel !as55789). Damit eine Regel ausgelöst wird, Alle aktiven Felder müssen übereinstimmen.

  • IP/ASN: Quell-IP-Adresse, CIDR-Bereich oder Nummer des autonomen Systems. Es können mehrere Werte als durch Kommas getrennte Liste eingegeben werden (z. B. 1.2.3.0/24, as12345, !as55789).
  • Geo: Ländercode oder Kontinentcode, wie von GeoIP verwendet.
  • Pfad: URL-Pfad auf der Domain (z. B. /admin/login). Unterstützt je nach Auswahl exakte Übereinstimmungen und Präfix-Übereinstimmungen Modus.
  • User-Agent: Wert des User-Agent HTTP-Header (z. B. googlebot). Unterstützt je nach Auswahl den exakten Abgleich sowie den Abgleich von Teilzeichenfolgen Modus.
  • JA4: Der TLS-Fingerabdruck des Clients. Nützlich, um einen bestimmten TLS-Stack des Clients unabhängig von dessen selbst deklariertem User-Agent abzugleichen.
  • JA4H: Der JA4H-HTTP-Fingerabdruck des Clients. Nützlich, um Bots zu erkennen, die sich auf der TLS-Ebene wie ein Browser verhalten, sich aber auf der HTTP-Ebene verraten.
  • Methode: Eine oder mehrere HTTP-Methoden, durch Kommas getrennt (z. B. GET, POST).
  • HTTP-Version: Die HTTP-Protokollversion der Anfrage (z. B. HTTP/1.1, HTTP/2, HTTP/3).
Dialogfeld „Kombinationsregel hinzufügen“ mit allen übereinstimmenden Feldern und der Aktionsauswahl
Dialogfeld „Kombinationsregel hinzufügen“ mit allen übereinstimmenden Feldern und der Aktionsauswahl

Kombinationsregel hinzufügen

Um eine neue Kombinationsregel hinzuzufügen, gehen Sie wie folgt vor:

  1. Stellen Sie sicher, dass die Option „Benutzerdefinierte Kombinationsregeln“ aktiviert ist.
  2. Klicken Sie auf die Schaltfläche „Kombinationsregel hinzufügen “.
  3. Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die Regel zutrifft.
  4. Füllen Sie nur die entsprechenden Felder aus, die Sie benötigen. Lassen Sie die übrigen Felder leer, damit sie als Platzhalter dienen.
  5. Stellen Sie sicher, dass der Schalter „Aktiv“ aktiviert ist, und klicken Sie dann auf „Absenden“.

Jede Regel in der Liste kann über die Spalte „Aktionen“ bearbeitet oder gelöscht werden. Verwenden Sie die Option „Aktiv“, um einzelne Regeln zu aktivieren oder zu deaktivieren, ohne sie zu löschen.

Kombinationsregeln werden der Reihe nach ausgewertet, wobei die erste zutreffende Regel Vorrang hat. Platzieren Sie spezifischere Regeln (z. B. eine bestimmte ASN auf einem bestimmten Pfad zulassen) vor allgemeineren Regeln (z. B. ein ganzes Land blockieren).

Anwendungsfälle und Beispiele für Kombinationsregeln

Kombinationsregeln sind besonders nützlich, wenn kein einzelner Filter spezifisch genug ist. Einige typische Anwendungsfälle:

Einen bekannten Crawler anhand der ASN auf die Whitelist setzen

Ziel: Den Traffic von Googlebot ungehindert durchlassen, auch wenn andere Regeln ihn andernfalls blockieren würden.

Einrichtung: Aktion Zulassen / Whitelist, IP/ASN as15169, User-Agent googlebot. Platzieren Sie diese Regel über allen blockierenden Regeln.

Einen Endpunkt auf POST-Anfragen beschränken

Ziel: Ein API-Endpunkt sollte nur POST-Anfragen akzeptieren; alles andere ist unerwünscht.

Einrichtung: Aktion Block mit Fehlerseite (HTTP 456), Pfad /api/submit, Methode GET, PUT, DELETE, PATCH, HEAD, OPTIONS. Anfragen, die den POST-Methoden verwenden, sind davon nicht betroffen und werden wie gewohnt fortgesetzt.

Ein Land auf einem heiklen Weg herausfordern

Ziel: Normales Surfen aus einem Land zulassen, aber jeden Zugriff auf das Admin-Panel blockieren.

Einrichtung: Aktion CAPTCHA-Überprüfung (Proof of Work), Geo cz, Pfad /admin/login.

Einen bekannten Angriffsfingerabdruck unbemerkt hinterlassen

Ziel: Datenverkehr, der einem bei einem früheren Angriff beobachteten JA4-Fingerabdruck entspricht, zu blockieren, ohne dem Angreifer Rückmeldung zu geben.

Einrichtung: Aktion Stillschweigend blockieren (Datenverkehr verwerfen), JA4 t13d1516h2_8daaf6152771_....

FAQ

Was passiert, wenn ich die WAF deaktiviere?

Nur der WAF-Regelsatz ist deaktiviert. Der KI-Modus, Filter, GeoIP und Kombinationsregeln laufen weiterhin. Ihre Domain ist nach wie vor geschützt, allerdings ohne signaturbasierte Regeln auf Anwendungsebene – daher empfehlen wir, die WAF nur vorübergehend zu deaktivieren, beispielsweise während der Behebung eines Fehlalarms.

Wann sollte ich Basic WAF anstelle von Advanced WAF verwenden?

Verwenden Sie den Basis-WAF nur, wenn der erweiterte Regelsatz bei einer legitimen Anwendung Fehlalarme auslöst, die Sie an der Quelle nicht anpassen können. Der Basis-Regelsatz ist konservativer und wendet nur die Kernregeln an. Für die meisten Websites und APIs ist der standardmäßige erweiterte WAF die richtige Wahl.

Wie funktioniert die Reihenfolge der Regeln?

Kombinationsregeln werden von oben nach unten ausgewertet, wobei die erste übereinstimmende Regel Vorrang hat. Platzieren Sie spezifische Regeln (wie Zulassungsregeln für als unbedenklich eingestufte Crawler oder vertrauenswürdige IP-Adressen) ganz oben in der Liste und allgemeinere Regeln (wie landesweite Sperren oder pauschale Ablehnungen) darunter.

Muss ich jedes Feld in einer Kombinationsregel ausfüllen?

Nein. Jedes leer gelassene Feld fungiert als Platzhalter. Eine Regel, bei der nur „Geo = cz“ festgelegt ist, trifft auf den gesamten Datenverkehr aus Tschechien zu, unabhängig von IP-Adresse, Pfad, User-Agent, Methode oder Version. Damit eine Regel ausgelöst wird, müssen alle ausgefüllten Felder übereinstimmen.

Kann ich einen Wert in einer Kombinationsregel verneinen?

Ja. Felder, die durch Kommas getrennte Listen akzeptieren (wie z. B. IP/ASN), unterstützen die Negation mit einem ! Präfix – zum Beispiel, as12345, !as55789 stimmt mit AS12345 überein, schließt jedoch AS55789 ausdrücklich aus.

Inwiefern unterscheiden sich Kombinationsregeln von Filtern?

Filter werden jeweils auf eine einzelne Dimension angewendet (eine IP-Liste, eine ASN-Liste, eine User-Agent-Liste usw.). Kombinierte Regeln vereinen mehrere Dimensionen in einer einzigen Regel, sodass Sie Bedingungen wie „nur diese ASN, nur auf diesem Pfad, nur mit dieser Methode“ festlegen können, was mit einem einzelnen Filter nicht möglich ist.

Kann die AUTO-KI für Kombinationsregeln deaktiviert werden?

Nein. Die AUTO-KI ist immer aktiviert und läuft parallel zu Ihren benutzerdefinierten Kombinationsregeln. Sie können im benutzerdefinierten Modus eigene Regeln hinzufügen, die KI lässt sich jedoch nicht deaktivieren.

War dies hilfreich?

Vielen Dank für Ihr Feedback!
Allgemeine Selektoren
Nur exakte Treffer
Suche im Titel
Suche im Inhalt
Post Type Selectors
Artikel TOC
Kategorien durchsuchen