W tym artykule dowiesz się:
- Jak działa tryb awaryjny
- Jak zmienić tryb aktywny
- Kiedy stosować poszczególne tryby
- Często zadawane pytania
Tryb awaryjny
Tryb awaryjny określa, w jaki sposób usługa WEDOS Protection przetwarza ruch przychodzący dla danej domeny na poziomie globalnym. Za pomocą jednego menu rozwijanego można zdecydować, czy reguły ochrony mają być stosowane jak zwykle, czy tylko rejestrowane, czy też zastąpione bardziej rygorystycznymi działaniami reagującymi na incydenty.
Zmiana trybu ochrony ma wpływ na całą konfigurację domeny. Nie powoduje to usunięcia ani nadpisania poszczególnych filtrów ani reguł kombinowanych. Zmienia natomiast sposób działania tych reguł na serwerze proxy.
Dostępne tryby
Usługa WEDOS Protection obsługuje obecnie pięć następujących trybów:
| Tryb | Zachowanie |
|---|---|
| Normalny (Wyłącz) | Nie jest aktywny żaden tryb awaryjny. Domena działa w trybie pełnej ochrony normalnej, z włączonymi wszystkimi filtrami, ograniczeniami przepustowości i regułami CMS. Zalecane do środowiska produkcyjnego. |
| Pod ostrzałem, Soft | Wzmocniona bramka weryfikacyjna w połączeniu z bardziej rygorystycznymi limitami przepustowości. Przeznaczona do aktywnych ataków na poziomie warstwy 7, w których konieczne jest bardziej rygorystyczne filtrowanie przy jednoczesnym zapewnieniu dostępności witryny dla legalnych użytkowników. |
| Objazd | Zasady ochrony są pomijane, a ruch jest przekazywany do źródła przy ograniczonym filtrowaniu. Jest to przydatne podczas sprawdzania podejrzanego fałszywego alarmu w zasadach ochrony. |
| Tylko do logowania | Filtry i reguły są analizowane, ale nie mają wpływu na ruch sieciowy. Działania są rejestrowane jako wpisy w dzienniku, które można przeglądać w Grafanie. Funkcja ta służy do weryfikacji reguł lub kontroli istniejącej ochrony. |
| Całkowity spadek | Wszystkie przychodzące połączenia TCP są po cichu odrzucane na granicy serwera proxy. Użytkownicy widzą komunikat o przekroczeniu limitu czasu połączenia. Izolacja stosowana w ostateczności. |
Więcej informacji na temat trybów znajdziesz w rozdziale „Podręcznik trybów ”.
Konfiguracja trybu awaryjnego
Aby zmienić aktywny tryb awaryjny dla domeny, wykonaj następujące czynności:
- Zaloguj się do panelu administracyjnego WEDOS Global ⧉.
- Wybierz domenę (lub szablon) do skonfigurowania.
- Rozwiń menu o nazwie „Tryb awaryjny serwisu ” znajdujące się u góry pulpitu nawigacyjnego domeny i wybierz tryb, który chcesz włączyć.
- Potwierdź zmianę w oknie dialogowym.
Nowy tryb zaczyna obowiązywać na serwerze proxy w ciągu kilku sekund.
Aktualny tryb pracy jest zawsze wyświetlany jako nazwa rozwijanego menu.
Aby szybko ustawić określony tryb dla dużej liczby domen, utwórz szablon z włączonym tym trybem.
Powrót do standardowej ochrony
Aby przywrócić pełną ochronę produkcji, wybierz opcję „Dezaktywuj” z menu rozwijanego i potwierdź zmianę. Dezaktywacja trybu awaryjnego powoduje przywrócenie wszystkich filtrów, limitów przepustowości i reguł CMS do stanu aktywności. Wszelkie reguły dodane lub zmodyfikowane w czasie, gdy domena znajdowała się w innym trybie, zostaną zastosowane natychmiast po włączeniu ochrony normalnej.
Tryb ręczny
Poniższa lista przedstawia typowe sytuacje, do których przeznaczony jest każdy z trybów. Zasadniczo domena powinna przez większość czasu działać w trybie normalnym. Z innych trybów należy korzystać świadomie, w konkretnym celu, a po jego osiągnięciu należy przywrócić tryb normalny.
Normalny (Wyłącz)
Jest to ustawienie domyślne w środowisku produkcyjnym i powinno być zawsze aktywne, chyba że istnieje konkretny powód, aby je zmienić. Standardowa ochrona obejmuje pełny zestaw zabezpieczeń na warstwach L3, L4 i L7 wraz z wszelkimi skonfigurowanymi przez użytkownika regułami niestandardowymi.
Pod ostrzałem, Soft
Użyj opcji „Under Attack, Soft”, gdy domena jest celem ukierunkowanego ataku, ale nadal chcesz zapewnić dostępność usługi dla legalnych użytkowników. Brama weryfikacyjna jest wzmocniona, a limity szybkości zaostrzone, więc klient, który nie przejdzie weryfikacji lub przekroczy obniżone progi, zostanie odfiltrowany, zanim żądanie dotrze do serwera źródłowego.
Objazd
Użyj opcji „Bypass”, jeśli podejrzewasz, że reguła ochrony blokuje prawidłowy ruch i chcesz szybko usunąć to ograniczenie na czas badania. Ruch jest przekazywany do serwera źródłowego z ograniczonym filtrowaniem, co pozwala zachować dostępność witryny podczas izolowania reguły powodującej fałszywy alarm. Po zakończeniu badania i odpowiednim dostosowaniu ochrony przywróć domenę do trybu „Normal”.
Tylko do logowania
Funkcję „Tylko logowanie” należy stosować wyłącznie wtedy, gdy zaczynasz korzystać z WGP po raz pierwszy i chcesz uzyskać ogólny obraz ruchu w sieci w celu określenia niezbędnego poziomu ochrony, oceny filtrów lub ustawień WAF, a także gdy chcesz przeprowadzić audyt istniejącej ochrony bez zakłócania ruchu. Filtry i reguły analizują ruch, ale go nie blokują. Wynikające z tego działania są rejestrowane w postaci wpisów w dzienniku, które można wykorzystać do weryfikacji potrzeb związanych z filtrami i regułami przed włączeniem ich w trybie normalnym.
Całkowity spadek
Tryb „Full Drop” należy stosować wyłącznie w skrajnych przypadkach jako środek izolacji. Wszystkie przychodzące połączenia TCP są po cichu odrzucane na granicy serwera proxy, co oznacza, że użytkownicy widzą komunikat o przekroczeniu limitu czasu połączenia zamiast jakiejkolwiek odpowiedzi. Tryb ten jest właściwy tylko wtedy, gdy żadne inne rozwiązanie nie jest wystarczające, na przykład w przypadku poważnej awarii, gdy jakikolwiek ruch w kierunku serwera źródłowego jest niedopuszczalny.
FAQ
Jak mogę sprawdzić, który tryb jest aktywny w mojej domenie?
W rozwijanym menu wyświetlany jest aktualny tryb. Jeśli nie jest to tryb normalny, a nie przeprowadzasz testów ani nie jesteś atakowany, wybierz opcję „Dezaktywuj”, aby powrócić do trybu normalnego.
Czy zmiana trybu ochrony powoduje usunięcie lub nadpisanie moich filtrów i reguł kombinowanych?
Nie. Twoje filtry i reguły kombinowane pozostają nienaruszone w konfiguracji. Tryb ochrony zmienia jedynie sposób działania tych reguł w czasie wykonywania. Powrót do trybu normalnego przywraca pełne egzekwowanie każdej reguły dokładnie tak, jak została skonfigurowana.
Jak szybko następuje zmiana trybu?
Po zatwierdzeniu okna dialogowego potwierdzenia nowy tryb zostanie przekazany do serwera proxy w ciągu kilku sekund. Nie jest wymagana żadna zmiana w ustawieniach DNS ani ponowne uruchomienie.
Czy mogę przełączyć się bezpośrednio z jednego trybu do drugiego bez konieczności powrotu najpierw do trybu normalnego?
Tak. Można przechodzić bezpośrednio między dowolnymi dwoma trybami. Każde przejście nadal wymaga potwierdzenia. Na przykład można przejść z try bu „Under Attack, Soft” do trybu „Full Drop”, jeśli sytuacja się zaostrzy, a po jej zakończeniu powrócić do trybu „Deactivate ”.
Czy powinienem pozostawić funkcje „Under Attack” i „Soft” włączone na stałe dla większego bezpieczeństwa?
Nie. Tryb „Under Attack, Soft” jest przeznaczony do reagowania na bieżące incydenty i wykorzystuje bardziej restrykcyjne progi oraz wzmocnioną bramkę weryfikacyjną, co z czasem może utrudniać działanie legalnym użytkownikom. Zalecanym ustawieniem domyślnym dla środowiska produkcyjnego jest tryb „Deactivate”, który już zapewnia pełną ochronę w ramach pakietu WGP. Trybu „Under Attack, Soft” należy używać wyłącznie w przypadku posiadania dowodów na ukierunkowany atak.
Czy po włączeniu funkcji „Full Drop” odwiedzający zobaczą stronę błędu WEDOS Protection?
Nie. Funkcja „Full Drop” po cichu odrzuca wszystkie przychodzące połączenia TCP na poziomie serwera proxy, więc nie generowana jest żadna odpowiedź HTTP. Użytkownicy zobaczą w przeglądarce komunikat o przekroczeniu limitu czasu połączenia lub zresetowaniu połączenia, a nie stronę WEDOS Protection. Jest to zamierzone działanie i stanowi jeden z powodów, dla których funkcja „Full Drop” jest zarezerwowana jako tryb stosowany wyłącznie w ostateczności.