DocumentazioneAEMGuida utente

Regole del filtro del traffico che includono le regole WAF traffic-filter-rules-including-waf-rules

Ultimo aggiornamento: 20 maggio 2026
  • Si applica a:
  • Experience Manager as a Cloud Service

Creato per:

  • Admin

Le regole del filtro del traffico bloccano o consentono le richieste a livello CDN, il che è utile in scenari come i seguenti:

  • Limitare l’accesso a domini specifici al traffico interno dell’azienda, prima della pubblicazione di un nuovo sito.
  • Per essere meno suscettibili ad attacchi DoS volumetrici, stabilisci limiti di velocità.
  • Impedire che indirizzi IP dannosi eseguano il targeting delle pagine.

La maggior parte di queste regole del filtro del traffico è disponibile per tutta la clientela di Sites e Forms di AEM as a Cloud Service. Come regole del filtro del traffico standard, funzionano sulle proprietà della richiesta: IP, nome host, percorso e agente utente. Le regole standard del filtro del traffico includono regole del limite di frequenza per evitare picchi di traffico.

Una sottocategoria di regole per il filtro del traffico richiede una licenza Extended Security (precedentemente denominata WAF-DDoS Protection) o Extended Security for Healthcare (precedentemente denominata Enhanced Security). Queste potenti regole sono note come regole del filtro del traffico di WAF (Web Application Firewall) (o regole WAF) e hanno accesso ai flag WAF descritti più avanti in questo articolo.

Le regole di filtro del traffico possono essere implementate nei tipi di ambiente di sviluppo, di staging e di produzione tramite la pipeline di configurazione di Cloud Manager. Il file di configurazione può essere implementato negli ambienti di sviluppo rapido (RDE, Rapid Developement Environments) utilizzando gli strumenti della riga di comando.

Per acquisire rapidamente esperienza su questa funzione, completa un’esercitazione.

NOTE
Per ulteriori opzioni di configurazione del traffico CDN, ad esempio la modifica di richieste/risposte, la dichiarazione di reindirizzamenti e il proxy a origini non AEM, vedere l'articolo Configurazione del traffico sulla rete CDN.

Organizzazione dell’articolo how-organized

Questo articolo è suddiviso nelle sezioni seguenti:

  • Panoramica sulla protezione del traffico: scopri in che modo sei protetto dal traffico dannoso.
  • Processo consigliato per la configurazione delle regole: scopri una metodologia di alto livello per proteggere il sito web.
  • Configurazione: Scopri come impostare, configurare e distribuire le regole del filtro del traffico, incluse le regole avanzate di WAF.
  • Sintassi delle regole: scopri come dichiarare le regole del filtro del traffico nel file di configurazione cdn.yaml. Questa sezione include sia le regole del filtro del traffico disponibili per tutta la clientela di Sites e Forms, nonché la sottocategoria delle regole WAF per coloro che concedono in licenza tale funzionalità.
  • Esempi di regole: Per iniziare, vedi esempi di regole dichiarate.
  • Regole dei limiti di frequenza: scopri come utilizzare le regole dei limiti di frequenza per proteggere il sito da attacchi con volumi elevati.
  • Avvisi sulle regole del filtro del traffico: Configura gli avvisi da notificare quando le regole vengono attivate.
  • Avviso traffico predefinito all’origine: Ricevi una notifica quando si verifica un aumento di traffico all’origine indicativo di un attacco DDoS.
  • Registri CDN: scopri quali regole dichiarate e contrassegni WAF corrispondono al tuo traffico.
  • Strumenti dashboard: analizza i registri CDN per trovare nuove regole per il filtro del traffico.
  • Regole iniziali consigliate: una serie di regole con cui iniziare.
  • Tutorial: informazioni sulla funzione, incluso come utilizzare gli strumenti del dashboard per dichiarare le regole appropriate.

Panoramica sulla protezione del traffico traffic-protection-overview

Nel panorama digitale attuale, il traffico dannoso è una minaccia sempre presente. Adobe è consapevole della gravità del rischio e offre diverse strategie per proteggere le applicazioni della clientela e mitigare gli attacchi quando si verificano.

La rete CDN gestita da Adobe assorbe gli attacchi DoS a livello di rete (livelli 3 e 4) ai margini della stessa, inclusi gli attacchi di tipo flood e di riflessione/amplificazione.

Per impostazione predefinita, Adobe adotta misure per evitare la riduzione delle prestazioni dovuto a picchi di traffico estremamente elevato oltre una determinata soglia. Se si verifica un attacco DoS che influisce sulla disponibilità del sito, i team operativi di Adobe vengono avvisati e adottano le misure necessarie per attenuare l’impatto.

I clienti adottano misure proattive per mitigare gli attacchi a livello di applicazione (livello 7) configurando regole a vari livelli del flusso di distribuzione dei contenuti.

Ad esempio, a livello di Apache, i clienti configurano il modulo Dispatcher o ModSecurity per limitare l’accesso a determinati contenuti.

Come descritto in questo articolo, le regole del filtro del traffico vengono distribuite alla rete CDN gestita di Adobe utilizzando le pipeline di configurazione di Cloud Manager. Oltre le regole del filtro del traffico standard (IP, percorso, intestazioni, limiti di tariffa), i clienti concedono in licenza le regole WAF.

Processo consigliato suggested-process

Di seguito è riportato un processo end-to-end consigliato di alto livello per determinare le regole del filtro del traffico corrette:

  1. Configura le pipeline di configurazione di produzione e non di produzione, come descritto nella sezione Configurazione.

  2. I clienti che hanno concesso la licenza per le regole del filtro del traffico di WAF le abilitano in Cloud Manager.

    note important
    IMPORTANT
    Le regole di gestione licenze di WAF non vengono attivate. La funzionalità rimane inattiva finché non viene verificata la protezione di WAF-DDOS nella scheda Protezione in Cloud Manager. Consulta Crea programmi di produzione o Modifica programmi per abilitare la funzione.

  3. Leggi e completa l’esercitazione per comprendere come utilizzare le regole del filtro del traffico, incluse le regole di WAF, se sono state concesse in licenza. Il tutorial illustra come distribuire le regole in un ambiente di sviluppo, simulare traffico dannoso, scaricare i Registri CDN e analizzarli negli strumenti della dashboard.

  4. Copia le regole iniziali consigliate in cdn.yaml e implementa la configurazione nell’ambiente di produzione con alcune regole in modalità registro.

  5. Dopo aver raccolto alcuni dati di traffico, analizza i risultati utilizzando gli strumenti della dashboard per vedere se ci sono state corrispondenze. Cerca i falsi positivi e apporta le eventuali modifiche necessarie, abilitando in ultima analisi tutte le regole iniziali in modalità blocco.

  6. Se necessario, aggiungi regole personalizzate basate sull’analisi dei registri CDN, eseguendo un test con traffico simulato in ambienti di sviluppo prima di implementarle negli ambienti di staging e di produzione in modalità registro e in seguito in modalità blocco.

  7. Monitora costantemente il traffico e modifica le regole man mano che il panorama delle minacce evolve.

Configurazione setup

  1. Crea un file cdn.yaml con un set di regole di filtro del traffico, incluse le regole WAF. Ad esempio:

    code language-none 
    kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
    # Block simple path
    - name: block-path
      when:
        allOf:
          - reqProperty: tier
            matches: "author|publish"
          - reqProperty: path
            equals: '/block/me'
      action: block

    Consulta Utilizzo delle pipeline di configurazione per una descrizione delle proprietà al di sopra del nodo data. Il valore della proprietà kind deve essere impostato su CDN e la versione su 1.

  2. Se le regole di WAF sono concesse in licenza, devi abilitare la funzione in Cloud Manager. Le regole di Licensing WAF non vengono attivate. La funzionalità rimane inattiva fino a quando non viene selezionata l’opzione Protezione WAF-DDOS nella scheda Protezione di Cloud Manager.

    Abilita la funzione per gli scenari di programma nuovi ed esistenti, come descritto di seguito:

    1. Per configurare WAF in un nuovo programma, selezionare la casella di controllo Protezione WAF-DDOS nella scheda Protezione quando si crea un programma di produzione.

    2. Per configurare WAF su un programma esistente, modifica il programma. Nella scheda Sicurezza, selezionare l’opzione Protezione WAF-DDOS per abilitare la funzionalità oppure deselezionarla per disabilitarla. È possibile modificare questa impostazione in qualsiasi momento.

      Per confermare che la funzionalità è attiva dopo averla abilitata, controlla i registri CDN una volta che il traffico viene indirizzato al sito. Cercare le voci di registro che includono una proprietà rules contenente un attributo waf. Ad esempio:

      "rules": "waf=SQLI"

      Questo attributo viene visualizzato una volta che WAF è attivo, anche prima della distribuzione di qualsiasi regola WAF.

  3. Crea una pipeline di configurazione in Cloud Manager, come descritto nell’articolo sulle pipeline di configurazione. La pipeline fa riferimento a una cartella config di primo livello con il file cdn.yaml posizionato in un punto qualsiasi al di sotto. Vedere Utilizzo delle pipeline di configurazione.

Sintassi delle regole del filtro del traffico rules-syntax

Per far corrispondere pattern quali IP, agente utente, intestazioni, nome host, area geografica o URL, puoi configurare regole filtro traffico.

I clienti con una licenza di protezione estesa o protezione estesa per il settore sanitario configurano regole WAF che fanno riferimento a flag WAF.

Di seguito è riportato un esempio di un set di regole per il filtro del traffico, che include anche una regola WAF.

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: "path-rule"
        when:
          allOf:
            - { reqProperty: path, equals: /block-me }
            - { reqProperty: tier, equals: publish }
        action:
          type: block
      - name: "Enable-SQL-Injection-and-XSS-waf-rules-globally"
        when: { reqProperty: path, like: "*" }
        action:
          type: block
          wafFlags: [ SQLI, XSS]

Il formato delle regole per il filtro del traffico nel file cdn.yaml è descritto di seguito. Trovi alcuni altri esempi in una sezione successiva, nonché in una sezione separata su Regole di limite di tasso.

Proprietà
Regole di filtro del traffico più frequenti
Regole di filtro del traffico WAF
Tipo
Valore predefinito
Descrizione
nome
X
X
string
-
Nome regola (lunghezza 64 caratteri, può contenere solo caratteri alfanumerici e - )
se
X
X
Condition
-
La struttura di base è:

{ <getter>: <value>, <predicate>: <value> }

Vedere Struttura delle condizioni in Configurazione del traffico sulla rete CDN per ottenere, predicati e come combinare più condizioni.
azione
X
X
Action
registro
oggetto registro, consenti, blocca oppure Azione. Il valore predefinito è registro
rateLimit
X
RateLimit
non definito
Configurazione del limite di frequenza. Il limite di frequenza è disabilitato se non è definito.

Di seguito è riportata una sezione separata che descrive la sintassi di rateLimit con alcuni esempi.

Struttura delle azioni action-structure

Un’action può essere una stringa che specifica l’azione (consenti, blocca o registra) o un oggetto composto sia dal tipo di azione (consenti, blocca o registra) che da opzioni quali wafFlags e/o Stato.

Tipi di azioni

La priorità delle azioni dipende dal loro tipo; nella tabella seguente, le azioni sono elencate in base al rispettivo ordine di esecuzione:

Nome
Proprietà consentite
Significato
allow
wafFlags (facoltativo), alert (facoltativo)
Se non sono presenti proprietà wafFlags, interrompe ulteriori elaborazioni di regole e passa alla risposta. Se sono presenti proprietà wafFlags, disabilita le protezioni WAF specificate e procede all’ulteriore elaborazione delle regole.
Se si specifica un avviso, viene inviata una notifica al Centro azioni se la regola viene attivata 10 volte in una finestra temporale di 5 minuti. Una volta attivato un avviso per una regola particolare, questo non si riattiva fino al giorno successivo (UTC).
block
status, wafFlags (facoltativo e reciprocamente esclusivo), alert (facoltativo)
Se non sono presenti proprietà wafFlags, restituisce un errore HTTP ignorando tutte le altre proprietà. Il codice di errore viene definito dalla proprietà dello stato oppure viene impostato sul codice predefinito 406. Se sono presenti proprietà wafFlags, abilita le protezioni WAF specificate e procede all’ulteriore elaborazione delle regole.
Se si specifica un avviso, viene inviata una notifica al Centro azioni se la regola viene attivata 10 volte in una finestra temporale di 5 minuti. Una volta attivato un avviso per una regola particolare, questo non si riattiva fino al giorno successivo (UTC).
log
wafFlags (facoltativo), alert (facoltativo)
Registra il fatto che la regola è stata attivata, non influisce sull’elaborazione in alcun modo. Eventuali proprietà wafFlags non hanno alcun effetto.
Se si specifica un avviso, viene inviata una notifica al Centro azioni se la regola viene attivata 10 volte in una finestra temporale di 5 minuti. Una volta attivato un avviso per una regola particolare, questo non si riattiva fino al giorno successivo (UTC).

Elenco dei flag di WAF waf-flags-list

La proprietà wafFlags, utilizzata nelle regole del filtro del traffico di WAF su licenza, fa riferimento a quanto segue:

Traffico dannoso

ID contrassegno
Nome contrassegno
Descrizione
ATTACK
Attacco
Un’aggregazione di flag relativi al traffico dannoso (SQLI, CMDEXE, XSS, ecc.). Consulta la sezione Regole WAF consigliate per informazioni su come utilizzare questo flag in modo efficace.
ATTACK-FROM-BAD-IP
Attacco da IP non valido
Simile al flag ATTACK, ma “logically AND-ed” con il flag BAD-IP in modo che una richiesta venga contrassegnata se corrisponde sia ad ATTACK che a BAD-IP. Consulta la sezione Regole WAF consigliate per informazioni su come utilizzare questo flag in modo efficace.
SQLI
SQL Injection
SQL Injection è il tentativo di accedere a un’applicazione o di ottenere informazioni con privilegi tramite l’esecuzione di query arbitrarie nel database.
BACKDOOR
Backdoor
Un segnale backdoor è una richiesta che tenta di determinare se un file backdoor comune è presente sul sistema.
CMDEXE
Command Execution
Command Execution è il tentativo di ottenere il controllo o danneggiare un sistema di destinazione attraverso comandi arbitrari di sistema mediante l’input dell’utente.
CMDEXE-NO-BIN
Esecuzione comando, tranne il /bin/
Garantisci lo stesso livello di protezione di CMDEXE durante la disabilitazione del falso positivo su /bin dovuta all’architettura di AEM.
XSS
Vulnerabilità cross-site scripting
Per vulnerabilità cross-site scripting si intende il tentativo di dirottare l’account o la sessione di navigazione web di un utente attraverso codice JavaScript dannoso.
TRAVERSAL
Directory Traversal
Directory Traversal è il tentativo di spostarsi tra le cartelle privilegiate all’interno di un sistema nella speranza di ottenere informazioni riservate.
USERAGENT
Attack Tooling
Attack Tooling è l’uso di un software automatizzato per identificare le vulnerabilità di sicurezza o per tentare di sfruttare una vulnerabilità scoperta.
LOG4J-JNDI
JNDI Log4J
Gli attacchi JNDI Log4J tentano di sfruttare la vulnerabilità Log4Shell presente nelle versioni Log4J precedenti alla 2.16.0
CVE
CVE
Contrassegno flag per identificare CVE (Common Vulnerabilities and Exposabilities). È sempre combinato con un flag CVE-<CVE Number>. Per ulteriori informazioni sui CVE da cui Adobe ti protegge, contatta Adobe.

Traffico sospetto

ID contrassegno
Nome contrassegno
Descrizione
ABNORMALPATH
Percorso anomalo
Percorso anomalo indica che il percorso originale è diverso dal percorso normalizzato (ad esempio, /foo/./bar è normalizzato su /foo/bar)
BAD-IP
IP non valido
Identifica le richieste provenienti da indirizzi IP noti per essere dannosi, a causa dell’inclusione nei set di dati come SANS e TORNODE oppure in base a un precedente rilevamento di comportamenti dannosi da parte del WAF
BHH
Intestazioni hop non valide
Le intestazioni hop non valide indicano un tentativo di smuggling dell’HTTP tramite un’intestazione di codifica di trasferimento (TE) o lunghezza dei contenuti (CL) non valida oppure tramite un’intestazione TE e CL corretta
CODEINJECTION
Code Injection
Code Injection è il tentativo di ottenere il controllo o danneggiare un sistema di destinazione attraverso comandi arbitrari di codice di applicazione tramite l’input dell’utente.
COMPRESSED
Compressione rilevata
Il corpo della richiesta POST è compresso e non può essere esaminato. Ad esempio, se viene specificata un’intestazione di richiesta Content-Encoding: gzip e il corpo POST non è testo normale.
RESPONSESPLIT
HTTP Response Splitting
Identifica quando i caratteri CRLF vengono inviati come input all’applicazione per inserire le intestazioni nella risposta HTTP.
NOTUTF8
Codifica non valida
Una codifica non valida può causare la conversione di caratteri dannosi da una richiesta a una risposta da parte del server, causando un rifiuto del servizio o XSS
MALFORMED-DATA
Dati non validi nel corpo della richiesta
Corpo della richiesta POST, PUT o PATCH non valido in base all’intestazione della richiesta “Content-Type”. Ad esempio, se è specificata un’intestazione di richiesta “Content-Type: application/x-www-form-urlencoded” che contiene un corpo POST che è JSON. Spesso si tratta di un errore di programmazione, richiesta automatizzata o dannosa. Richiede l’agente 3.2 o versione successiva.
SANS
Traffico IP dannoso
SANS Internet Storm Center elenco di indirizzi IP segnalati che hanno eseguito attività dannose.
NO-CONTENT-TYPE
Intestazione di richiesta “Content-Type” mancante
Una richiesta POST, PUT o PATCH senza intestazione di richiesta “Content-Type”. Per impostazione predefinita, i server applicazioni devono assumere in questo caso “Content-Type: text/plain; charset=us-ascii”. In molte richieste automatizzate e dannose potrebbe mancare “Content Type”.
NOUA
Nessun agente utente
Indica che una richiesta non conteneva alcuna intestazione “User-Agent” o che il valore dell’intestazione non era impostato.
NULLBYTE
Byte Null
I byte Null non vengono in genere visualizzati in una richiesta e indicano che la richiesta è in formato non corretto e potenzialmente dannoso.
OOB-DOMAIN
Dominio fuori banda
I domini fuori banda, in genere, vengono utilizzati durante i test di penetrazione per identificare eventuali vulnerabilità in cui è consentito l’accesso alla rete.
PRIVATEFILE
File privati
I file privati sono di solito di natura riservata, ad esempio, un file .htaccess Apache o un file di configurazione, che potrebbero causare la perdita di informazioni riservate.
SCANNER
Scanner
Identifica i servizi e gli strumenti di scansione più diffusi.

Traffico vario

ID contrassegno
Nome contrassegno
Descrizione
DATACENTER
Datacenter
Identifica la richiesta come proveniente da un provider di hosting noto. Questo tipo di traffico non è comunemente associato a un utente finale reale.
DOUBLEENCODING
Doppia codifica
La doppia codifica verifica la tecnica di evasione dei caratteri HTML a doppia codifica
JSON-ERROR
Errore di codifica JSON
Corpo della richiesta POST, PUT o PATCH specificato come contenente JSON nell’intestazione della richiesta “Content-Type”, ma contenente errori di analisi JSON. Questo è spesso correlato a un errore di programmazione o a una richiesta automatizzata o dannosa.
TORNODE
Traffico Tor
Tor è un software che nasconde l’identità di un utente. Un picco nel traffico Tor può indicare che un hacker sta cercando di mascherare la sua posizione.
XML-ERROR
Errore di codifica XML
Corpo della richiesta POST, PUT o PATCH specificato come contenente XML nell’intestazione della richiesta “Content-Type”, ma contenente errori di analisi XML. Questo è spesso correlato a un errore di programmazione o a una richiesta automatizzata o dannosa.

Considerazioni considerations

  • Quando vengono create due regole in conflitto, le regole consentite avranno sempre la precedenza sulle regole del blocco. Ad esempio, se crei una regola per bloccare un percorso specifico e una regola per consentire un indirizzo IP specifico, le richieste provenienti da tale indirizzo IP sul percorso bloccato sono consentite.

  • Se una regola viene rilevata e bloccata, il CDN risponde con un codice di restituzione 406.

  • I file di configurazione non contengono segreti perché sono leggibili da chiunque abbia accesso all’archivio Git.

  • Gli elenchi di IP consentiti definiti in Cloud Manager hanno la precedenza sulle regole dei filtri di traffico.

  • Le corrispondenze delle regole WAF vengono visualizzate solo nei registri CDN per CDN miss e pass, non per hit.

Esempi di regole examples

Di seguito sono riportati alcuni esempi di regole. Per esempi di regole del limite di frequenza, consulta la sezione sul limite di frequenza più in basso.

Esempio 1

Questa regola blocca le richieste provenienti da IP192.168.1.1:

kind: "CDN"
version: "1"
data:
  trafficFilters:
     rules:
       - name: "block-request-from-ip"
         when: { reqProperty: clientIp, equals: "192.168.1.1" }
         action:
           type: block

Esempio 2

Questa regola blocca le richieste al percorso /helloworld al momento della pubblicazione con un agente utente contenente Chrome:

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: "block-request-from-chrome-on-path-helloworld-for-publish-tier"
        when:
          allOf:
          - { reqProperty: path, equals: /helloworld }
          - { reqProperty: tier, equals: publish }
          - { reqHeader: user-agent, matches: '.*Chrome.*'  }
        action:
          type: block

Esempio 3

Questa regola blocca le richieste che contengono il parametro di query foo al momento della pubblicazione, ma consente ogni richiesta proveniente da IP 192.168.1.1:

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: "block-request-that-contains-query-parameter-foo"
        when:
          allOf:
            - { queryParam: url-param, equals: foo }
            - { reqProperty: tier, equals: publish }
        action:
          type: block
      - name: "allow-all-requests-from-ip"
        when: { reqProperty: clientIp, equals: 192.168.1.1 }
        action:
          type: allow

Esempio 4

Questa regola blocca le richieste al percorso /block-me al momento della pubblicazione e blocca ogni richiesta che corrisponde a uno schema SQLI o XSS. Questo esempio include una regola del filtro del traffico di WAF, che fa riferimento ai SQLI e XSS flag WAF e richiede pertanto una licenza separata.

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: "path-rule"
        when:
          allOf:
            - { reqProperty: path, equals: /block-me }
            - { reqProperty: tier, equals: publish }
        action:
          type: block
      - name: "Enable-SQL-Injection-and-XSS-waf-rules-globally"
        when: { reqProperty: path, like: "*" }
        action:
          type: block
          wafFlags: [ SQLI, XSS]

Esempio 5

Questa regola blocca l’accesso ai Paesi OFAC:

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: block-ofac-countries
        when:
          allOf:
            - reqProperty: tier
              matches: "author|publish"
            - reqProperty: clientCountry
              in:
                - SY
                - BY
                - MM
                - KP
                - IQ
                - CD
                - SD
                - IR
                - LR
                - ZW
                - CU
                - CI
        action: block

Regole del limite di tasso

A volte è auspicabile bloccare il traffico, se supera una certa frequenza di richieste in arrivo, in base a una condizione specifica. L’impostazione di un valore per la proprietà rateLimit limita la frequenza delle richieste che corrispondono alla condizione della regola.

Le regole del limite di tasso non possono fare riferimento ai contrassegni WAF. Sono disponibili per tutti i clienti Sites e Forms.

I limiti di tasso vengono calcolati per POP CDN. Ad esempio, supponiamo che i POP a Montreal, Miami e Dublino registrino tassi di traffico rispettivamente di 80, 90 e 120 richieste al secondo. La regola del limite di frequenza è impostata su 100. In tal caso, solo il traffico verso Dublino è limitato.

I limiti di frequenza vengono valutati in base al traffico che raggiunge il limite, la sorgente o il numero di errori.

struttura rateLimit ratelimit-structure

Proprietà
Tipo
Predefinito
SIGNIFICATO
limite
numero intero da 10 a 10000
obbligatorio
Frequenza di richiesta (per POP CDN) nelle richieste al secondo per le quali viene attivata la regola.
finestra
Enum intera: 1, 10 o 60
10
Finestra di campionamento in secondi per la quale viene calcolato il tasso di richiesta. La precisione dei contatori dipende dalle dimensioni della finestra (maggiore finestra, maggiore precisione). Ad esempio, ci si può aspettare una precisione del 50% per la finestra di 1 secondo e del 90% per la finestra di 60 secondi.
penalità
numero intero compreso tra 60 e 3600
300 (5 minuti)
Un periodo in secondi per il quale le richieste corrispondenti vengono bloccate (arrotondato al minuto più vicino).
numero
tutti, recuperi, errori
tutti
valutare in base al traffico del bordo (tutto), al traffico sorgente (recuperi) o al numero di errori (errori)
groupBy
array[Getter]
nessuno
il contatore del limitatore di velocità è aggregato da un set di proprietà di richiesta (ad esempio, clientIp).

Esempi ratelimiting-examples

Esempio 1

Questa regola blocca un client per 5 minuti quando supera una media di 60 req/sec (per POP CDN) negli ultimi 10 secondi:

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
    - name: limit-requests-client-ip
      when:
        reqProperty: tier
        matches: "author|publish"
      rateLimit:
        limit: 60
        window: 10
        penalty: 300
        count: all
        groupBy:
          - reqProperty: clientIp
      action: block

Esempio 2

Blocca le richieste per 60 secondi nel percorso /critical/resource quando supera la media di 100 richieste di origine al secondo (per POP CDN) in un periodo di tempo di dieci secondi:

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: rate-limit-example
        when:
          allOf:
            - { reqProperty: path, equals: /critical/resource }
            - { reqProperty: tier, equals: publish }
        action:
          type: block
        rateLimit: { limit: 100, window: 10, penalty: 60, count: fetches }

Per ulteriori snippet di codice per scenari avanzati, consulta l’articolo Snippet di configurazione CDN per scenari comuni.

Regole CVE cve-rules

Se WAF è concesso in licenza, Adobe applica automaticamente regole di blocco per proteggere da molti CVE noti (vulnerabilità ed esposizioni comuni) e nuovi CVE vengono aggiunti subito dopo essere stati rilevati. I clienti non configurano direttamente le regole CVE.

Se una richiesta di traffico corrisponde a un CVE, viene visualizzata nella voce di registro CDN corrispondente.

Contatta il supporto Adobe in caso di domande su un particolare CVE o se la tua organizzazione desidera disabilitare una particolare regola CVE.

Avvisi sulle regole del filtro traffico traffic-filter-rules-alerts

Una regola può essere configurata per inviare una notifica al Centro azioni se viene attivata dieci volte in una finestra temporale di 5 minuti. Una regola di questo tipo avvisa quando si verificano determinati modelli di traffico in modo da poter adottare tutte le misure necessarie. Una volta attivato un avviso per una regola particolare, non viene attivato nuovamente fino al giorno successivo (UTC).

Ulteriori informazioni sul Centro azioni, tra cui come configurare i profili di notifica richiesti per la ricezione di e-mail.

Notifica Centro azioni

La proprietà dell’avviso può essere applicata al nodo dell’azione per tutti i tipi di azione (consenti, blocco, registro).

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: "path-rule"
        when:
          allOf:
            - { reqProperty: path, equals: /block-me }
            - { reqProperty: tier, equals: publish }
        action:
          type: block
          alert: true

Avviso picco di traffico predefinito all’origine traffic-spike-at-origin-alert

Una notifica e-mail di Centro azioni ti avvisa quando un traffico elevato proveniente dallo stesso indirizzo IP raggiunge l’origine, suggerendo un attacco DDoS.

Se questa soglia viene raggiunta, Adobe blocca il traffico da tale indirizzo IP; adotta misure aggiuntive per proteggere l’origine, ad esempio la configurazione delle regole del filtro del traffico del limite di velocità. Per una procedura guidata, vedere l’esercitazione Blocco di attacchi DoS e DDoS tramite le regole del traffico.

Il sistema abilita questo avviso per impostazione predefinita, ma è possibile disabilitarlo utilizzando la proprietà defaultTrafficAlerts, impostata su false. Una volta attivato, l’avviso non viene nuovamente attivato fino al giorno successivo (UTC).

kind: "CDN"
version: "1"
data:
  trafficFilters:
   defaultTrafficAlerts: false

Registri CDN cdn-logs

AEM as a Cloud Service fornisce accesso ai registri CDN, utili per i casi d’uso tra cui l’ottimizzazione del rapporto hit della cache e la configurazione delle regole del filtro del traffico. I registri CDN vengono visualizzati nella finestra di dialogo di Cloud Manager Scarica registri durante la selezione del servizio di authoring o di pubblicazione.

I registri CDN vengono ritardati di un massimo di cinque minuti.

La proprietà rules descrive le regole del filtro del traffico corrispondenti e presenta il seguente pattern:

"rules": "match=<matching-customer-named-rules-that-are-matched>,waf=<matching-WAF-rules>,action=<action_type>"

Ad esempio:

"rules": "match=Block-Traffic-under-private-folder,Enable-SQL-injection-everywhere,waf="SQLI,SANS",action=block"

Le regole si comportano nel modo seguente:

  • Il nome delle regola dichiarato dal cliente di tutte le regole corrispondenti è elencato nell’attributo match.
  • L’attributo action determina se le regole bloccano, consentono o registrano.
  • Se WAF è concesso in licenza e abilitato, l’attributo waf elenca tutti i contrassegni WAF rilevati (ad esempio SQLI). Questo comportamento è vero indipendentemente dal fatto che i flag WAF fossero elencati o meno in una delle regole. Questa registrazione deve fornire ad insight nuove potenziali regole da dichiarare.
  • Se nessuna regola dichiarata dal cliente corrisponde e nessuna regola waf corrisponde, la proprietà rules è vuota.

Come indicato in precedenza, le corrispondenze delle regole WAF vengono visualizzate solo nei registri CDN per CDN miss e pass, non per hit.

L’esempio seguente mostra un esempio cdn.yaml e due voci di registro CDN:

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: "path-rule"
        when: { reqProperty: path, equals: /block-me }
        action: block
      - name: "Enable-SQL-Injection-and-XSS-waf-rules-globally"
        when: { reqProperty: path, like: "*" }
        action:
          type: block
          wafFlags: [ SQLI, XSS ]

{
"timestamp": "2023-05-26T09:20:01+0000",
"ttfb": 19,
"cli_ip": "147.160.230.112",
"cli_country": "CH",
"rid": "974e67f6",
"req_ua": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0.3 Safari/605.1.15",
"host": "example.com",
"url": "/block-me",
"method": "GET",
"res_ctype": "",
"cache": "PASS",
"status": 406,
"res_age": 0,
"pop": "PAR",
"rules": "match=path-rule,action=blocked"
}

{
"timestamp": "2023-05-26T09:20:01+0000",
"ttfb": 19,
"cli_ip": "147.160.230.112",
"cli_country": "CH",
"req_ua": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0.3 Safari/605.1.15",
"rid": "974e67f6",
"host": "example.com",
"url": "/?sqli=%27%29%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL--%20fAPK",
"method": "GET",
"res_ctype": "image/png",
"cache": "PASS",
"status": 406,
"res_age": 0,
"pop": "PAR",
"rules": "match=Enable-SQL-Injection-and-XSS-waf-rules-globally,waf=SQLI,action=blocked"
}

Formato registro cdn-log-format

Di seguito è riportato un elenco dei nomi dei campi utilizzati nei registri CDN, con una breve descrizione.

Nome campo
Descrizione
marca temporale
L’ora di inizio della richiesta, dopo la cessazione del TLS.
ttfb
Abbreviazione per Time To First Byte. L’intervallo di tempo compreso tra l’inizio della richiesta e il momento prima che il corpo della risposta inizi a essere trasmesso in streaming.
cli_ip
Indirizzo IP del client.
cli_country
Codice paese a due lettere ISO 3166-1 alfa-2 del paese client.
rid
Il valore dell’intestazione di richiesta utilizzato per identificare in modo univoco la richiesta.
req_ua
L’agente utente responsabile di effettuare una determinata richiesta HTTP.
host
Autorità a cui è destinata la richiesta.
url
Il percorso completo, inclusi i parametri di query.
metodo
Metodo HTTP inviato dal client, ad esempio “GET” o “POST”.
res_ctype
Tipo di contenuto utilizzato per indicare il tipo di file multimediale originale della risorsa.
cache
Stato della cache. I valori possibili sono HIT, MISS o PASS
stato
Il codice di stato HTTP come valore intero.
res_age
Il tempo (in secondi) in cui una risposta è stata memorizzata nella cache (in tutti i nodi).
pop
Centro dati del server cache CDN.
regole
Nome di eventuali regole corrispondenti.

Indica anche se la corrispondenza ha prodotto un blocco.

Ad esempio, “match=Enable-SQL-Injection-and-XSS-waf-rules-globally,waf=SQLI,action=blocked

Vuoto se non corrisponde alcuna regola.

Strumenti dashboard dashboard-tooling

Adobe fornisce un meccanismo per scaricare gli strumenti della dashboard sul computer per acquisire i registri CDN scaricati tramite Cloud Manager. Utilizza questo strumento per analizzare il traffico e determinare le regole del filtro del traffico da dichiarare, incluse le regole di WAF.

Gli strumenti della dashboard possono essere clonati direttamente dall’archivio GitHub AEMCS-CDN-Log-Analysis-Tooling.

È disponibile un tutorial con istruzioni pratiche su come utilizzare gli strumenti della dashboard.

Adobe consiglia di iniziare con le regole del filtro del traffico riportate di seguito e quindi di perfezionarle nel tempo. Le regole standard sono disponibili con una licenza Sites o Forms, mentre le regole WAF richiedono una licenza Protezione estesa (precedentemente denominata Protezione WAF-DDoS) o Protezione estesa per l’assistenza sanitaria (precedentemente denominata Protezione avanzata).

Inizia con queste regole:

  1. limite di frequenza (modalità registro):
    • registra quando il traffico da un determinato IP supera un limite di frequenza. Passa alla modalità di blocco dopo aver verificato che non siano stati ricevuti avvisi; se sono stati ricevuti avvisi, indica che il valore limite era troppo basso.
  2. paesi specifici (modalità blocco):
    • blocca il traffico da alcuni Paesi (modifica i codici paese in base ai requisiti aziendali)
kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
    #  Block client for 5m when it exceeds an average of 100 req/sec to origin on a time window of 10sec
    - name: limit-origin-requests-client-ip
      when:
        reqProperty: tier
        equals: 'publish'
      rateLimit:
        limit: 100
        window: 10
        count: fetches
        penalty: 300
        groupBy:
          - reqProperty: clientIp
      action: log
    #  Block client for 5m when it exceeds an average of 500 req/sec on a time window of 10sec
    - name: limit-requests-client-ip
      when:
        reqProperty: tier
        equals: 'publish'
      rateLimit:
        limit: 500
        window: 10
        count: all
        penalty: 300
        groupBy:
          - reqProperty: clientIp
      action: log
      alert: true
    # Block requests coming from OFAC countries
    - name: ofac-countries
      when:
        allOf:
          - { reqProperty: tier, in: ["author", "publish"] }
          - reqProperty: clientCountry
            in:
              - SY
              - BY
              - MM
              - KP
              - IQ
              - CD
              - SD
              - IR
              - LR
              - ZW
              - CU
              - CI
      action: block

Aggiungi le seguenti regole alla configurazione esistente:

  1. Flag ATTACK-FROM-BAD-IP (modalità blocco):

    • Blocca immediatamente il traffico che corrisponde a pattern sospetti (inclusi diversi nell’elenco dei flag WAF) e che proviene da indirizzi IP noti per essere dannosi.
    • Il flag ATTACK-FROM-BAD-IP soddisfa entrambe le condizioni (pattern match e known malicious IP), riducendo al minimo il rischio di falsi positivi. Pertanto, puoi applicare questa regola in modalità di blocco in modo sicuro e immediato.

  2. Flag ATTACK (modalità registro):

    • Inizialmente registra (anziché bloccare) il traffico che corrisponde a pattern sospetti ma non proviene da indirizzi IP dannosi noti. Questo approccio prudente di registrazione, anziché di blocco, consente di evitare il blocco involontario del traffico legittimo (falsi positivi).
    • Per verificare che le richieste legittime non vengano contrassegnate in modo errato, analizza i registri CDN dopo la distribuzione di questa regola. Se hai la certezza che non è interessato alcun traffico legittimo, passa alla modalità di blocco.
NOTE
L’esperienza indica che i falsi positivi associati al flag ATTACK sono rari. Pertanto, una strategia pratica consiste nel bloccare immediatamente tutto il traffico sospetto e utilizzare l’analisi del registro CDN per identificare e introdurre regole che consentano il traffico legittimo. Ogni organizzazione valuta la propria tolleranza al rischio, valutando i vantaggi di una maggiore protezione rispetto al rischio di bloccare inavvertitamente le richieste legittime.
    # blocks likely attack traffic, which also comes from suspected IPs
    - name: attacks-from-bad-ips-globally
      when:
        reqProperty: tier
        in: ["author", "publish"]
      action:
        type: block
        wafFlags:
          - ATTACK-FROM-BAD-IP
    # log likely attack traffic, and later switch to block mode if false positives aren't observed
    - name: attacks-from-any-ips-globally
      when:
        reqProperty: tier
        in: ["author", "publish"]
      action:
        type: log
        wafFlags:
          - ATTACK

Regole precedenti WAF consigliate previous-waf-starter-rules

Prima di luglio 2025, Adobe consigliava le regole WAF elencate di seguito, ancora valide ed efficaci nella difesa contro il traffico dannoso. Per considerazioni sulla migrazione alle nuove regole consigliate, visualizza il tutorial.

Espandi per visualizzare le precedenti regole WAF consigliate.
code language-none 
    # Enable recommended WAF protections (only works if WAF is licensed enabled for your environment)
    - name: block-waf-flags-globally
      when:
        reqProperty: tier
        in: ["author", "publish"]
      action:
        type: log
        wafFlags:
          - TRAVERSAL
          - CMDEXE-NO-BIN
          - XSS
          - LOG4J-JNDI
          - BACKDOOR
          - USERAGENT
          - SQLI
          - SANS
          - TORNODE
          - NOUA
          - SCANNER
          - PRIVATEFILE
          - NULLBYTE

Tutorial tutorial

Per acquisire conoscenze pratiche ed esperienza sulle regole del filtro del traffico, incluse le regole di WAF, utilizzare una serie di esercitazioni.

I tutorial includono:

  • Panoramica delle regole del filtro del traffico standard e WAF.
  • Per bloccare gli attacchi, inclusi i Denial of Service (DoS), configura le regole standard e del filtro del traffico WAF consigliate.
  • Distribuzione di regole tramite la pipeline di configurazione di Cloud Manager.
  • Verifica delle regole utilizzando strumenti per simulare traffico dannoso.
  • Analisi dei risultati mediante lo strumento di analisi del registro.
  • Best practice.
recommendation-more-help
experience-manager-cloud-service-help-main-toc