Ochrona – reguły WAF i reguły kombinowane

W niniejszym artykule omówiono funkcje WAF (Web Application Firewall) oraz reguły kombinowane w ramach usługi WEDOS Protection. Informacje na temat reguł jednowymiarowych można znaleźć w sekcjach „Filtry” i „GeoIP”.

W tym artykule dowiesz się:

Reguły WAF i reguły kombinowane

Zapora aplikacji internetowych (WAF) WEDOS Protection analizuje przychodzące żądania HTTP/HTTPS na poziomie serwera proxy i blokuje te, które odpowiadają znanym wzorcom ataków (wstrzyknięcie kodu SQL, XSS, RCE, przekraczanie ścieżki oraz inne zagrożenia z listy OWASP), zanim dotrą one do serwera źródłowego. Zapora WAF współpracuje z filtrami i funkcją GeoIP oraz ochroną w trybie AI, która działa w całej sieci WEDOS Protection.

Reguły kombinowane działają na poziomie WAF i umożliwiają definiowanie zaawansowanych, połączonych reguł warstw L3–L7 dla poszczególnych domen. Każda reguła sprawdza zgodność z wieloma warunkami jednocześnie (adres IP/ASN, lokalizacja geograficzna, ścieżka, User-Agent, JA4, JA4H, metoda HTTP, wersja HTTP), a pierwsze dopasowanie ma pierwszeństwo. Reguły kombinowane są przydatne, gdy pojedynczy filtr nie jest wystarczająco szczegółowy — na przykład gdy chcesz zezwolić znanemu ASN robota indeksującego tylko na określonej ścieżce lub zablokować konkretny odcisk TLS pochodzący z jednego kraju.

Reguły WAF i reguły kombinowane stanowią uzupełnienie, ale nie zastępują filtrów i funkcji GeoIP. Filtry i reguły GeoIP służą do ochrony jednowymiarowej, natomiast reguły kombinowane są przeznaczone do bardziej złożonych scenariuszy. Ponadto tryb AI działa nadal równolegle i nie można go wyłączyć.

Konfiguracja reguł WAF i reguł kombinowanych

W planach abonamentowych „Start ” i „Advanced” funkcja WAF działa wyłącznie w trybie AI, a reguły kombinowane nie są dostępne. Aby uzyskać dostęp do wyboru trybu WAF oraz reguł kombinowanych, należy przejść na plan „Expert ”.

Aby przejść do ustawień, wykonaj następujące czynności:

  1. Zaloguj się do panelu administracyjnego WEDOS Global ⧉.
  2. Wybierz domenę (lub szablon) do skonfigurowania.
  3. W menu po lewej stronie kliknij opcję „ WAF”.
Przegląd ustawień WAF w panelu WGP
Przegląd ustawień WAF w panelu WGP

Tryb WAF

Przełącznik trybu WAF steruje zestawem reguł stosowanym przez zaporę aplikacji internetowych dla wybranej domeny. Dostępne są trzy tryby:

  • Zaawansowana zapora WAF (pełny zestaw reguł) — ustawienie domyślne: uruchamia kompletny zestaw reguł WAF, obejmujący podstawowe zabezpieczenia oraz rozszerzone sygnatury ataków na poziomie warstwy aplikacji. Zalecane dla większości stron internetowych i aplikacji.
  • Podstawowy tryb WAF (tylko podstawowe reguły): Działa wyłącznie w oparciu o podstawowy zestaw reguł. Rozwiązanie to sprawdza się w sytuacjach, gdy pełny zestaw reguł generuje fałszywe alarmy w przypadku legalnych, ale nietypowych aplikacji, a potrzebny jest mniejszy, bardziej konserwatywny zestaw sygnatur.
  • Wyłączone: Całkowicie wyłącza ocenę reguł WAF. Tryb AI, filtry, GeoIP i reguły kombinowane pozostają aktywne.
Przełącznik trybu WAF z trzema dostępnymi trybami
Przełącznik trybu WAF z trzema dostępnymi trybami

Ustawienie trybu WAF na „Wyłączony” powoduje jedynie wyłączenie reguł WAF. Nie wyłącza to trybu AI, filtrów, funkcji GeoIP ani reguł kombinowanych. Tryb WAF należy wyłączać wyłącznie w uzasadnionych przypadkach — na przykład podczas rozwiązywania problemów związanych z fałszywymi alarmami.

Zasady dotyczące kombinacji

Reguły kombinowane to zaawansowane reguły łączone na poziomach L3–L7. Każda reguła sprawdza zgodność z wieloma warunkami, a wygrywa pierwsza reguła, która spełnia te warunki. Należy uporządkować reguły od najbardziej szczegółowych do najbardziej ogólnych — na przykład najpierw umieścić reguły zezwalające na znane, sprawdzone roboty indeksujące, a na końcu regułę blokującą wszystkie pozostałe.

Zasady kombinacji działają równolegle z funkcją AUTO AI, która nieustannie analizuje ruch w tle. Funkcji AUTO AI nie można wyłączyć.

Lista reguł kombinacji z włączoną funkcją AUTO AI i niestandardowymi regułami kombinacji
Lista reguł kombinacji z włączoną funkcją AUTO AI i niestandardowymi regułami kombinacji

Działania

Gdy reguła kombinowana zostanie dopasowana, wykonywana jest jedna z poniższych czynności:

  • Zezwól na dostęp / Lista białych adresów: Omiń wszystkie warstwy zabezpieczeń i przekaż żądanie bezpośrednio do serwera źródłowego. Stosuj wyłącznie w przypadku zaufanego, dokładnie zidentyfikowanego ruchu (np. zweryfikowanego wewnętrznego systemu monitorowania).
  • Weryfikacja CAPTCHA (Proof of Work): Przed dopuszczeniem żądania należy przeprowadzić weryfikację Proof of Work lub test na obecność botów.
  • Zablokuj i wyświetl stronę błędu (HTTP 456): Zablokuj żądanie i wyświetl konfigurowalną stronę błędu z kodem statusu HTTP 456.
  • Ciche blokowanie (odrzucanie ruchu): Ciche odrzucenie żądania. Klient nie otrzymuje żadnej odpowiedzi. Przydatne w przypadku ruchu atakującego, gdy nie chcesz potwierdzać, że żądanie dotarło do serwera.

Pola pasujące

Każda reguła kombinowana może uwzględniać maksymalnie dziewięć pól. Każde pole można pozostawić puste, aby pełniło funkcję symbolu wieloznacznego, a każde pole można zanegować (używając ! prefiks, jeśli jest obsługiwany, na przykład !as55789). Aby reguła zadziałała, wszystkie aktywne pola muszą być zgodne.

  • Adres IP/ASN: Adres IP źródłowy, zakres CIDR lub numer systemu autonomicznego. Wiele wartości można wprowadzić w postaci listy rozdzielonej przecinkami (np. 1.2.3.0/24, as12345, !as55789).
  • Geo: Kod kraju lub kontynentu stosowany przez GeoIP.
  • Ścieżka: Ścieżka URL w domenie (np. /admin/login). Obsługuje dopasowywanie dokładne i przedrostkowe w zależności od wybranego Tryb.
  • User-Agent: Wartość User-Agent Nagłówek HTTP (np. googlebot). Obsługuje dopasowywanie dokładne oraz dopasowywanie podciągów w zależności od wybranego Tryb.
  • JA4: Odcisk palca TLS klienta JA4. Przydatny do identyfikacji konkretnego stosu TLS klienta niezależnie od deklarowanego przez niego agenta użytkownika (User-Agent).
  • JA4H: Odcisk palca HTTP klienta JA4H. Przydatne do wykrywania botów, które na poziomie TLS udają przeglądarkę, ale ujawniają się na poziomie HTTP.
  • Metoda: Jedna lub więcej metod HTTP, oddzielonych przecinkami (np. GET, POST).
  • Wersja protokołu HTTP: wersja protokołu HTTP żądania (np. HTTP/1.1, HTTP/2, HTTP/3).
Okno dialogowe „Dodaj regułę kombinacji” zawierające wszystkie pasujące pola oraz selektor akcji
Okno dialogowe „Dodaj regułę kombinacji” zawierające wszystkie pasujące pola oraz selektor akcji

Dodaj regułę kombinowaną

Aby dodać nową regułę kombinowaną, wykonaj następujące czynności:

  1. Upewnij się, że przełącznik „Niestandardowe reguły kombinacji ” jest włączony.
  2. Kliknij przycisk „Dodaj regułę kombinacji ”.
  3. Wybierz czynność, która ma zostać wykonana w przypadku spełnienia warunku reguły.
  4. Wypełnij tylko te pola, które są Ci potrzebne. Pozostałe pozostaw puste, aby działały jak symbole wieloznaczne.
  5. Upewnij się, że przełącznik „Aktywne ” jest włączony, a następnie kliknij „Prześlij”.

Każdą regułę z listy można edytować ( ) lub usunąć ( ) za pomocą opcji w kolumnie „Działania”. Za pomocą wskaźnika „Aktywne” można włączać lub wyłączać poszczególne reguły bez ich usuwania.

Reguły kombinowane są sprawdzane po kolei, a pierwsze pasujące z nich ma pierwszeństwo. Bardziej szczegółowe reguły (np. zezwalające na konkretny numer ASN na określonej ścieżce) należy umieścić przed regułami bardziej ogólnymi (np. blokującymi cały kraj).

Zasady dotyczące kombinacji: przypadki użycia i przykłady

Zasady kombinacji są najbardziej przydatne, gdy żaden pojedynczy filtr nie jest wystarczająco szczegółowy. Oto kilka typowych sytuacji:

Dodaj znanego robota indeksującego do białej listy na podstawie adresu ASN

Cel: Umożliwić swobodny przepływ ruchu generowanego przez Googlebota, nawet jeśli inne reguły w innym przypadku go blokowałyby.

Konfiguracja: Akcja Zezwól / Dodaj do białej listy, IP/ASN as15169, User-Agent googlebot. Umieść tę regułę przed wszelkimi regułami blokującymi.

Ogranicz punkt końcowy wyłącznie do żądań POST

Cel: Punkt końcowy API powinien akceptować wyłącznie żądania POST; wszelkie inne żądania są niepożądane.

Konfiguracja: Akcja Blok z stroną błędu (HTTP 456), Ścieżka /api/submit, Metoda GET, PUT, DELETE, PATCH, HEAD, OPTIONS. Żądania wysyłane metodą POST nie zostaną dopasowane i będą realizowane normalnie.

Rzuć wyzwanie krajowi, który znajduje się na delikatnym etapie

Cel: Zezwolić na normalne przeglądanie stron z danego kraju, ale blokować wszelkie próby uzyskania dostępu do panelu administracyjnego.

Konfiguracja: Akcja Weryfikacja CAPTCHA (dowód wykonania pracy), Geo cz, Ścieżka /admin/login.

Po cichu usunąć znany ślad ataku

Cel: Odfiltrowanie ruchu odpowiadającego sygnaturze JA4 zaobserwowanej podczas poprzedniego ataku, bez dostarczania atakującemu jakichkolwiek informacji zwrotnych.

Konfiguracja: Akcja Ciche blokowanie (odrzucanie ruchu), JA4 t13d1516h2_8daaf6152771_....

FAQ

Co się stanie, jeśli wyłączę WAF?

Wyłączono jedynie zestaw reguł WAF. Tryb AI, filtry, GeoIP oraz reguły kombinowane nadal działają. Twoja domena jest nadal chroniona, ale bez reguł warstwy aplikacji opartych na sygnaturach — dlatego zalecamy wyłączenie WAF tylko tymczasowo, na przykład podczas rozwiązywania problemów związanych z fałszywymi alarmami.

Kiedy należy używać podstawowej wersji WAF zamiast zaawansowanej?

Z podstawowego zestawu reguł WAF należy korzystać tylko wtedy, gdy zaawansowany zestaw reguł powoduje fałszywe alarmy w przypadku legalnej aplikacji, której nie można dostosować u źródła. Podstawowy zestaw reguł jest bardziej konserwatywny i stosuje wyłącznie podstawowe reguły. W przypadku większości stron internetowych i interfejsów API domyślny zaawansowany zestaw reguł WAF stanowi właściwy wybór.

Jak działa kolejność reguł?

Reguły kombinowane są sprawdzane od góry do dołu, a pierwsze pasujące z nich ma pierwszeństwo. Reguły szczegółowe (takie jak reguły zezwalające dla sprawdzonych robotów indeksujących lub zaufanych adresów IP) należy umieścić na początku listy, a reguły o szerszym zakresie (takie jak blokady obejmujące cały kraj lub reguły odrzucające wszystkie połączenia) poniżej nich.

Czy muszę wypełnić wszystkie pola w regule kombinowanej?

Nie. Każde puste pole działa jak symbol wieloznaczny. Reguła, w której ustawiono jedynie Geo = cz, dopasowuje cały ruch z Czech, niezależnie od adresu IP, ścieżki, agenta użytkownika, metody czy wersji. Aby reguła zadziałała, wszystkie wypełnione pola muszą być zgodne.

Czy w regule kombinowanej można zastosować negację wartości?

Tak. Pola, które akceptują listy rozdzielone przecinkami (takie jak IP/ASN), obsługują negację za pomocą znaku ! przedrostek — na przykład, as12345, !as55789 pasuje do AS12345, ale wyraźnie wyklucza AS55789.

Czym zasady kombinacji różnią się od filtrów?

Filtry sprawdzają zgodność w jednym wymiarze na raz (jedna lista adresów IP, jedna lista numerów ASN, jedna lista identyfikatorów User-Agent itd.). Reguły kombinowane łączą wiele wymiarów w jedną regułę, dzięki czemu można określić warunki typu „tylko ten numer ASN, tylko na tej ścieżce, tylko przy użyciu tej metody”, czego nie pozwala pojedynczy filtr.

Czy można wyłączyć funkcję AUTO AI w przypadku reguł kombinacji?

Nie. Funkcja AUTO AI jest zawsze włączona i działa równolegle z Twoimi niestandardowymi regułami kombinacji. W trybie niestandardowym możesz dodawać własne reguły, ale nie można wyłączyć sztucznej inteligencji.

Czy to było pomocne?

Dziękujemy za opinię!
Selektory ogólne
Tylko dokładne dopasowania
Wyszukiwanie w tytule
Wyszukiwanie w treści
Selektory typów postów
Spis treści artykułu
Przeglądaj kategorie