Protection – Filtres et GeoIP

Cet article traite des fonctionnalités « Filtres » et « GeoIP » de WEDOS Protection. Pour les paramètres du pare-feu d'applications Web (WAF), consultez les sections « WAF » et « Règles combinées ».

Dans cet article, vous apprendrez :

Caractéristiques de protection de WEDOS

Pour protéger votre site web, les serveurs proxy de WEDOS Protection utilisent les fonctionnalités suivantes :

  • Filtres : Grâce aux filtres, le système bloque un large éventail de types de menaces. Vous pouvez également filtrer le trafic dirigé vers des URL spécifiques de votre domaine. Pour en savoir plus, consultez la rubrique Filtres.
  • GeoIP : cette fonction étend les filtres, vous permettant d'autoriser ou de bloquer les requêtes entrantes provenant d'adresses IP par pays. Pour en savoir plus, consultez le site GeoIP.

Ces fonctions sont en mode IA par défaut. Cela signifie que tout événement reconnu comme une menace informe automatiquement l'ensemble du système sur la manière de le gérer. Les utilisateurs ayant souscrit à l'abonnement Expert ou à un abonnement supérieur peuvent activer les paramètres personnalisés en plus du mode IA.

La fonction de sécurité Mode AI ne peut pas être désactivée.

Configuration de la fonction de protection

Pour accéder aux paramètres de la fonction, procédez comme suit :

  1. Connectez-vous au panneau d'administration global de WEDOS &boxbox ;.
  2. Sélectionnez un domaine ou un modèle à configurer.
  3. Dans le menu de gauche, sélectionnez la fonction à configurer.
Filtres et options GeoIP dans le menu du domaine WGP
Filtres et options GeoIP dans le menu du domaine WGP

Filtres

WEDOS Protection utilise actuellement les filtres suivants :

  • Filtre IP : Le trafic provenant des adresses IP ou des plages d'adresses IP répertoriées ici est bloqué par le proxy et n'atteint pas votre serveur web. Ce filtre est particulièrement utile si une attaque provient d'une seule adresse IP ou d'un petit sous-réseau.
  • Filtre ASN : Outre les adresses IP, vous pouvez également bloquer le trafic provenant de numéros de systèmes autonomes sélectionnés. Un système autonome (AS) est un groupe d'un ou plusieurs préfixes IP géré par un ou plusieurs opérateurs de réseau qui maintiennent une politique de routage unique et clairement définie. Les opérateurs de réseau doivent disposer d'un ASN pour contrôler le routage au sein de leurs réseaux et pour échanger des informations de routage avec d'autres ISP.
  • Filtre d'agent utilisateur : Un agent utilisateur identifie le type d'application, de système d'exploitation ou d'autre entité demandant l'accès à votre serveur web. Il s'identifie généralement à l'aide de la balise User-Agent (en-tête). Les attaquants peuvent falsifier cet en-tête pour se faire passer pour un autre client (spoofing d'agent).
  • Filtre URL : Ce filtre met en place des URL protégées sur votre domaine, bloquant tout trafic entrant vers les adresses filtrées. À cet égard, il fonctionne différemment des filtres ci-dessus.
  • Filtre d'empreinte digitale JA4 TLS : une empreinte digitale JA4 est générée au niveau de la couche de terminaison TLS et permet de classer la pile du client, et pas seulement l'en-tête. En capturant et en hachant ces caractéristiques de manière cohérente, vous obtenez une empreinte digitale stable liée à la pile technologique du client (bibliothèque TLS, système d'exploitation, environnement d'exécution), et non à son identité déclarée. Ce filtre est particulièrement utile pour éviter les faux positifs.
  • Filtre d'empreinte HTTP JA4H : il s'agit du même filtre que JA4, mais il s'appuie sur la requête HTTP d'un client. Ce filtre est particulièrement utile pour détecter les bots qui se font passer pour un navigateur au niveau TLS, mais qui se trahissent au niveau de la couche HTTP.
  • Filtre Referer : l'en-tête HTTP Referer indique la page ou le domaine à l'origine de la requête en cours. Utile pour bloquer le spam de référencement, les robots de scraping de contenu ou le trafic provenant de domaines connus pour être malveillants ou indésirables. Couramment utilisé pour empêcher le hotlinking (l'intégration directe de vos images, vidéos ou ressources par d'autres sites) et pour bloquer le trafic provenant de fausses sources de référence utilisé pour fausser les statistiques d'analyse.
  • Filtre de type de contenu : L'en-tête HTTP « Content-Type » indique le format du corps de la requête (par exemple application/json, multipart/form-data, application/x-www-form-urlencoded, text/xml). Utile pour limiter votre application ou votre API aux seuls types de données attendus — par exemple, pour bloquer les téléchargements de fichiers sur des points de terminaison qui ne doivent recevoir que du JSON, rejeter les requêtes XML/SOAP sur des API réservées au JSON, ou empêcher les types de contenu mal formés ou inhabituels, souvent générés par des outils automatisés et des scanners de vulnérabilités.
  • Filtre par catégorie d'IP : filtre le trafic en fonction du type de réseau auquel appartient l'adresse IP source, plutôt qu'en fonction de l'adresse IP elle-même. WGP classe chaque adresse IP client en différentes catégories, telles que centre de données / hébergeur, FAI résidentiel, opérateur mobile, TOR / VPN / proxy anonymisant, robot d'indexation de moteur de recherche et autres groupes similaires. Cela vous permet d'appliquer des règles générales basées sur l'intention sans avoir à gérer des listes d'adresses IP individuelles — par exemple, en autorisant le trafic résidentiel et celui provenant de moteurs de recherche vérifiés, en remettant en question le trafic provenant de centres de données et en bloquant purement et simplement le trafic TOR/VPN.
  • Filtre GeoIP : Étant donné que la plupart des adresses IP contiennent également des informations sur le pays auquel elles sont attribuées, vous pouvez rapidement filtrer un pays entier. En raison de sa configuration étendue, le filtre GeoIP a sa propre section.

Lorsqu'ils sont consultés à partir d'un navigateur, les dispositifs bloqués affichent une page d'erreur Accès refusé. Dans le cas contraire, le contenu bloqué renvoie une erreur 456.

Pour les formules d'abonnement « Start » et « Advanced », tous les filtres fonctionnent uniquement en mode IA. Pour ajouter vos propres adresses IP, numéros AS, agents utilisateur et URL protégées, passez à la formule « Expert ». Cela vous permettra d'autoriser, de bloquer ou d'exiger une preuve de travail pour les éléments de filtrage que vous définissez.

GeoIP

GeoIP est un type de filtre qui vous permet de définir des règles spécifiques pour certains pays, sélectionnés sur une carte. Outre la gestion des accès (autoriser ou bloquer le trafic), le filtre GeoIP permet également de déterminer où déployer la « Proof of Work » à titre de mesure de protection.

Pour les formules d'abonnement « Start » et « Advanced », GeoIP est disponible uniquement en mode IA. Pour débloquer l'interface de gestion (carte), passez à la formule « Expert ».

Pour configurer des règles GeoIP personnalisées, accédez à l'interfaceGeoIP de pour le domaine concerné et procédez comme suit :

  1. Activer la géolocalisation personnalisée.
  2. Sélectionnez une région (un continent ou un pays) à l'aide du menu déroulant ou de la carte.
  3. Sélectionnez l'une des actions suivantes pour cette région, puis cliquez sur Soumettre:
    • Autoriser l'accès / Liste blanche : aucun blocage basé sur l'adresse IP géographique.
    • Vérification CAPTCHA (preuve de travail) : demander aux visiteurs de résoudre un test (preuve de travail, comme un CAPTCHA).
    • Bloquer avec un message d'erreur (HTTP 456) : bloquer systématiquement le trafic, mais afficher un message d'erreur personnalisable.
    • Bloquer sans notification : bloquer le trafic et renvoyer uniquement un code d'erreur.
  4. Sélectionnez l'action par défaut pour toutes les autres régions.
  5. Cliquez sur le bouton « Enregistrer les paramètres », puis sur « Confirmer ».
Exemples d'options GeoIP : autoriser l'Europe, bloquer (avec une page d'erreur) tous les autres continents
Exemples d'options GeoIP – Autoriser l'Europe, bloquer (avec une page d'erreur) tous les autres continents

FAQ

Comment désactiver la fonction AUTO AI sur les fonctions de protection ?

L'IA AUTO est toujours activée. Vous pouvez ajouter vos propres règles en mode personnalisé, mais l'IA ne peut pas être désactivée.

Cela a-t-il été utile ?

Merci pour vos commentaires !
Sélecteurs génériques
Correspondance exacte uniquement
Recherche dans le titre
Recherche dans le contenu
Sélecteurs de type de message
Article TOC
Parcourir les catégories