En este artículo aprenderá:
- Cómo funciona el modo de emergencia
- Cómo cambiar el modo activo
- Cuándo utilizar cada modo
- Preguntas más frecuentes
Modo de emergencia
El «Modo de emergencia» controla cómo WEDOS Protection procesa el tráfico entrante de un dominio a nivel global. Determina si las reglas de protección se aplican con normalidad, si solo se registran o si se sustituyen por un comportamiento más estricto de respuesta ante incidentes, todo ello desde un único menú desplegable.
El cambio del modo de protección se aplica a toda la configuración del dominio. No elimina ni anula filtros individuales ni reglas combinadas. En su lugar, modifica el comportamiento de dichas reglas en el proxy.
Modos disponibles
Actualmente, WEDOS Protection admite los cinco modos siguientes:
| Modo | Comportamiento |
|---|---|
| Normal (Desactivar) | No hay ningún modo de emergencia activo. El dominio funciona con protección normal completa, con todos los filtros, límites de velocidad y reglas CMS activos. Recomendado para entornos de producción. |
| Bajo ataque, suave | Puerta de control reforzada combinada con límites de tráfico más estrictos. Diseñada para hacer frente a un ataque activo de capa 7 en el que se desea aplicar un filtrado más estricto sin que ello afecte a la disponibilidad del sitio para los usuarios legítimos. |
| Derivación | Las reglas de protección se omiten y el tráfico se reenvía al origen con un filtrado reducido. Resulta útil cuando se investiga un posible falso positivo en las reglas de protección. |
| Solo registro | Los filtros y las reglas se evalúan, pero no afectan al tráfico. Las acciones se convierten en entradas de «registro» que se pueden consultar en Grafana. Úsalas para validar reglas o auditar la protección existente. |
| Caída total | Todas las conexiones TCP entrantes se rechazan de forma silenciosa en el proxy perimetral. Los visitantes ven un error de tiempo de espera de la conexión. Aislamiento de último recurso. |
Encontrarás más información sobre los modos en el capítulo «Manual de modos ».
Configuración del modo de emergencia
Para cambiar el modo de emergencia activo de un dominio, siga estos pasos:
- Inicie sesión en el panel de administración de WEDOS Global ⧉.
- Seleccione un dominio (o plantilla) para configurar.
- Abre el menú desplegable titulado «Modo de emergencia de » situado en la parte superior del panel de control del dominio y selecciona el modo que desees activar.
- Confirma el cambio en la ventana de diálogo.
El nuevo modo se activa en el borde del proxy en cuestión de segundos.
El modo activo actual siempre aparece como el título del menú desplegable.
Para configurar rápidamente un modo determinado en un gran número de dominios, crea una plantilla con ese modo activado.
Volver a la protección normal
Para volver a la protección de producción completa, selecciona «Desactivar» en el menú desplegable y confirma el cambio. Al desactivar el modo de emergencia, todos los filtros, límites de velocidad y reglas del CMS vuelven a estar activos. Las reglas que se hayan añadido o modificado mientras el dominio se encontraba en otro modo se aplicarán tan pronto como se active la protección normal.
Modo manual
En la siguiente lista se describen las situaciones típicas para las que se ha diseñado cada modo. Por regla general, un dominio debería funcionar en modo Normal la mayor parte del tiempo. Utilice los demás modos de forma deliberada con un objetivo concreto y vuelva al modo Normal una vez que haya alcanzado dicho objetivo.
Normal (Desactivar)
Esta es la configuración predeterminada de producción y debe estar activa en todo momento, a menos que exista una razón específica para cambiarla. La protección normal aplica toda la pila de protección de los niveles L3, L4 y L7, junto con cualquier regla personalizada que hayas configurado.
Bajo ataque, suave
Utiliza el modo «Under Attack, Soft» cuando el dominio sea objeto de un ataque dirigido, pero desees mantener el servicio disponible para los usuarios legítimos. La puerta de desafío se refuerza y se endurecen los límites de frecuencia, de modo que cualquier cliente que no supere el desafío o supere los umbrales reducidos es filtrado antes de que el servidor de origen reciba la solicitud.
Derivación
Utiliza la opción «Bypass» cuando sospeches que una regla de protección está bloqueando tráfico legítimo y necesites eliminar rápidamente esa restricción mientras investigas. El tráfico se reenvía al origen con un filtrado reducido, lo que mantiene el sitio accesible mientras aíslas la regla que provoca el falso positivo. Una vez que hayas completado la investigación y hayas ajustado la protección en consecuencia, vuelve a poner el dominio en «Normal».
Solo registro
Utilice el modo «Solo registro» cuando empiece a utilizar WGP por primera vez y desee obtener una visión general de su tráfico para determinar el nivel de protección necesario, para evaluar la configuración de los filtros o del WAF, o cuando desee auditar la protección existente sin afectar al tráfico. Los filtros y las reglas evalúan el tráfico, pero no lo bloquean. Las acciones resultantes se convierten en entradas de registro que puede utilizar para validar las necesidades de los filtros y las reglas antes de habilitarlos en el modo «Normal».
Caída total
Utilice el modo «Full Drop» como último recurso de aislamiento. Todas las conexiones TCP entrantes se rechazan de forma silenciosa en el proxy perimetral, lo que significa que los visitantes observan un tiempo de espera de conexión en lugar de recibir cualquier tipo de respuesta. Este modo solo es adecuado cuando ningún otro modo resulta suficiente, por ejemplo, durante un incidente catastrófico en el que cualquier tipo de tráfico hacia el origen sea inaceptable.
PREGUNTAS FRECUENTES
¿Cómo puedo saber qué modo está activo en mi dominio?
El modo actual aparece en el menú desplegable. Si no se trata del modo Normal y no estás realizando pruebas ni estás siendo objeto de un ataque, selecciona la opción «Desactivar» para volver al modo Normal.
¿Al cambiar el modo de protección se borran o se anulan mis filtros y reglas combinadas?
No. Tus filtros y reglas combinadas permanecen intactos en la configuración. El modo de protección solo modifica el comportamiento de esas reglas durante la ejecución. Al volver al modo de protección normal, se restablece la aplicación completa de todas las reglas tal y como estaban configuradas.
¿Cuánto tarda en surtir efecto un cambio de modo?
Una vez aceptado el cuadro de diálogo de confirmación, el nuevo modo se aplica al proxy perimetral en cuestión de segundos. No es necesario realizar ningún cambio en el DNS ni reiniciar el sistema.
¿Puedo cambiar directamente de un modo a otro sin tener que volver primero al modo Normal?
Sí. Puedes pasar directamente de cualquier modo a otro. Cada transición sigue requiriendo confirmación. Por ejemplo, puedes pasar de «Bajo ataque, leve» a «Alerta máxima» si el incidente se agrava, y luego volver a «Desactivar» una vez que haya terminado.
¿Debería dejar activadas permanentemente las opciones «Under Attack» y «Soft» para mayor seguridad?
No. El modo «Under Attack, Soft» está diseñado para incidentes activos y utiliza umbrales más estrictos y un filtro de autenticación reforzado que, con el tiempo, puede afectar a los usuarios legítimos. La configuración básica recomendada para el entorno de producción es «Deactivate», que ya ejecuta toda la pila de protección de WGP. Utilice el modo «Under Attack, Soft» únicamente cuando tenga pruebas de un ataque dirigido.
Si activo Full Drop, ¿verán los visitantes una página de error de WEDOS Protection?
No. La función «Full Drop» descarta de forma silenciosa todas las conexiones TCP entrantes en el proxy, por lo que no se genera ninguna respuesta HTTP. Los visitantes verán un tiempo de espera agotado o un restablecimiento de la conexión en su navegador, y no aparecerá la página de WEDOS Protection. Esto es intencionado y es una de las razones por las que «Full Drop» se reserva como modo de último recurso.