Web Application Firewall (WAF)
Dankzij de snelle verbinding met de WAF-service (webtoepassingsfirewall) voor Adobe Commerce op cloudinfrastructuur wordt kwaadaardig aanvraagverkeer gedetecteerd, geregistreerd en geblokkeerd voordat uw sites of netwerk beschadigd kunnen raken. De WAF-service is alleen beschikbaar in productieomgevingen.
De WAF-service biedt de volgende voordelen:
-
naleving PCI - WAF enablement zorgt ervoor dat Adobe Commerce storefronts in de milieu's van de Productie aan PCI DSS 6.6 veiligheidsvereisten voldoen.
-
StandaardWAF beleid - het standaardWAF beleid, dat door Fastly wordt gevormd en wordt gehandhaafd, verstrekt een inzameling van veiligheidsregels die worden gemaakt om uw het Webtoepassingen van Adobe Commerce tegen een brede waaier van aanvallen, met inbegrip van injectieaanvallen, kwaadwillige input, dwars-plaats scripting, gegevenscontrole, het protocolschendingen van HTTP, en andere Top tien van OWASPveiligheidsbedreigingen te beschermen.
-
WAF on boarding en enablement - de Adobe stelt en laat het standaard beleid van WAF in uw milieu van de Productie binnen 2 tot 3 weken toe nadat de levering definitief is.
-
Verrichtingen en onderhoudssteun—
- U kunt uw logbestanden, regels en waarschuwingen voor de WAF-service snel Adoben en instellen en beheren.
- De Adobe brengt klantensteunkaartjes met betrekking tot de dienstkwesties van WAF in werking die wettig verkeer als Prioriteit 1 kwesties blokkeren.
- Geautomatiseerde upgrades naar de WAF-serviceversie zorgen voor directe dekking voor nieuwe of zich ontwikkelende explosies. Zie onderhoud en verbeteringen van WAF.
WAF inschakelen
Met Adobe kan de WAF-service binnen twee tot drie weken na de definitieve provisioning op nieuwe accounts worden uitgevoerd. De WAF wordt geïmplementeerd via de Fastly CDN-service. U hoeft geen hardware of software te installeren of te onderhouden.
Hoe werkt het
De dienst van WAF integreert met Fastly en gebruikt de geheim voorgeheugenlogica binnen de Fastly dienst CDN om verkeer bij de Fastly globale knopen te filtreren. Wij laten de dienst van WAF in uw milieu van de Productie met een standaardWAF beleid toe dat op wordt gebaseerd ModSecurity Regels van Trustwave SpiderLabsen de Top Tien van OWASP veiligheidsbedreigingen.
De dienst van WAF inspecteert HTTP en HTTPS verkeer (GET en POST verzoeken) tegen de regels van WAF en blokkeert verkeer dat kwaadwillig is of niet aan specifieke regels voldoet. De dienst inspecteert slechts oorsprong-gebonden verkeer dat probeert om het geheime voorgeheugen te verfrissen. Dientengevolge, houden wij het meeste aanvalsverkeer bij het Fastly geheime voorgeheugen tegen, beschermend uw oorsprongsverkeer tegen kwaadwillige aanvallen. Door slechts oorsprongverkeer te verwerken, behoudt de dienst van WAF geheim voorgeheugenprestaties, introducerend slechts een geschatte 1.5 milliseconden aan 20 milliseconden van latentie aan elk niet caching verzoek.
Problemen met geblokkeerde aanvragen oplossen
Wanneer de dienst van WAF wordt toegelaten, inspecteert het al Web en admin verkeer tegen de regels van WAF en blokkeert om het even welke Webverzoek die een regel teweegbrengt. Wanneer een aanvraag wordt geblokkeerd, ziet de aanvrager een standaard 403 Forbidden foutpagina die een referentie-id bevat voor de blokkeringsgebeurtenis.
U kunt deze pagina met foutreacties aanpassen via de beheerfunctie. Zie de de reactiepagina van WAFaanpassen.
Als uw Adobe Commerce admin pagina of storefront een 403 Forbidden foutenpagina in antwoord op een wettig verzoek URL terugkeert, leg een kaartje van de Steun van Adobe Commercevoor. Kopieer de referentie-id van de pagina met foutreacties en plak deze in de beschrijving van het ticket.
WAF-onderhoud en -updates
Snellere updates en implementeert patches voor nieuwe CVE's/sjabloonregels op basis van regelupdates van commerciële derden, snel onderzoek en open bronnen. De gepubliceerde regels worden zo nodig snel bijgewerkt in een beleid of wanneer wijzigingen in de regels beschikbaar zijn uit de respectieve bronnen. Bovendien kunt u met Snelheid regels toevoegen die overeenkomen met de gepubliceerde klassen regels in de WAF-instantie van elke service nadat de WAF-service is ingeschakeld. Deze updates zorgen voor onmiddellijke dekking voor nieuwe of zich ontwikkelende exploitaties.
Adobe en beheer snel het updateproces om ervoor te zorgen dat de nieuwe of gewijzigde regels van WAF effectief in uw milieu van de Productie werken alvorens de updates op het blokkeren wijze worden opgesteld.
Problemen
Als u merkt dat de WAF legitieme verzoeken blokkeert, zijn deze vaak valse positieven en moeten ze worden omzeild of een oplossing hebben die bij de WAF-service wordt geïmplementeerd. Verzend een ondersteuningsticket en neem de betreffende URL op, evenals de exacte stappen waarmee de fout wordt gereproduceerd en de naslaggids in tekst (in tegenstelling tot een schermafbeelding) om schrijffouten te voorkomen.
Beperkingen
De standaard WAF-service met de functie Fastly biedt geen ondersteuning voor de volgende functies:
- De bescherming tegen malware of beide beperking-overweegt het gebruiken van toegangsbeheerlijstenof de derdienst.
- Het tarief beperkt-zie Tarief datin de Snelle documentatie beperkt, of zie het Tarief datbeperkt in het Web API van Commerce veiligheidssectie beperkt.
- Het vormen van een registrereneindpunt voor klant-zie dienst PrivateLinkals alternatief.
De dienst van WAF staat u toe om verkeer te blokkeren of toe te staan dat op IP adressen wordt gebaseerd. U kunt toegangsbeheerlijsten (ACL) en de fragmenten van douaneVCL aan uw Snelle dienst toevoegen om de IP adressen en logica VCL voor het blokkeren of het toestaan van verkeer te specificeren. Zie {de fragmenten van 0} Snelle VCL van de Douane {🔗.
Filteren voor TCP-, UDP- of ICMP-aanvragen wordt niet ondersteund door de WAF-service. Nochtans, wordt deze functionaliteit verstrekt door de ingebouwde bescherming DDoS inbegrepen met de Fastly dienst CDN. Zie bescherming DDoS.