Regels voor verkeersfilters, inclusief WAF-regels traffic-filter-rules-including-waf-rules
De filterregels van het verkeer kunnen worden gebruikt om verzoeken bij de laag te blokkeren of toe te staan CDN, die in scenario's zoals nuttig kan zijn:
- Toegang tot specifieke domeinen beperken tot intern bedrijfsverkeer, voordat een nieuwe site live gaat
- Het vestigen van tariefgrenzen om minder vatbaar voor volumetrische aanvallen van Dos te zijn
- Voorkomen dat IP-adressen waarvan bekend is dat ze kwaadaardig zijn, zich richten op uw pagina's
De meeste van deze regels van de verkeersfilter zijn beschikbaar aan alle AEM as a Cloud Service Plaatsen en klanten van Forms. Zij werken hoofdzakelijk op verzoekeigenschappen en verzoekkopballen, met inbegrip van IP, hostname, weg, en gebruikersagent.
Een subcategorie van verkeersfilterregels vereist of een vergunning van Uitgebreide Veiligheid of een vergunning van de Bescherming WAF-DDoS. Deze krachtige regels zijn gekend als het verkeersfilterregels van het WAF (de Firewall van de Toepassing van het Web) (of de regels van WAF voor kort) en hebben toegang tot WAF-vlaggen wordt verderop in dit artikel beschreven.
De filterregels van het verkeer kunnen via de configuratiepijpleidingen van de Manager van de Wolk worden opgesteld om, stadium, en de types van productiemilieu in productie (niet zandbak) programma's te ontwikkelen. Steun voor RDEs zal in de toekomst komen.
Een zelfstudie doorlopen snel concrete expertise op dit gebied op te bouwen.
Hoe dit artikel is georganiseerd how-organized
Dit artikel is onderverdeeld in de volgende secties:
- Overzicht verkeersbeveiliging: Leer hoe u tegen kwaadwillig verkeer wordt beschermd.
- Voorgesteld proces voor het configureren van regels: Lees voor meer informatie over een methode op hoog niveau voor het beschermen van uw website.
- Instellen: Ontdek hoe te opstelling, vorm, en stel de regels van de verkeersfilter, met inbegrip van de geavanceerde regels van WAF op.
- Syntaxis regels: Lees over hoe te om de regels van de verkeersfilter in te verklaren
cdn.yaml
configuratiebestand. Dit omvat zowel de regels van de verkeersfilter beschikbaar aan alle klanten van Plaatsen en van Forms, als de subcategorie van de regels van WAF voor degenen die van dat vermogen vergunning geven. - Voorbeelden van regels: Bekijk voorbeelden van gedeclareerde regels om u op weg te helpen.
- Regels voor tarieflimieten: Leer hoe u regels voor snelheidsbeperking gebruikt om uw site te beschermen tegen aanvallen met een hoog volume.
- Waarschuwing verkeersfilterregels Vorm alarm dat moet worden op de hoogte gebracht wanneer uw regels worden teweeggebracht.
- Standaardverkeersspiegel bij oorspronkelijke waarschuwing Word op de hoogte gebracht wanneer er een toename van verkeer bij de oorsprong wijzend op een aanval DDoS is.
- CDN-logbestanden: Zie welke verklaarde regels en de Vlaggen van WAF uw verkeer aanpassen.
- Dashboard-gereedschappen: Analyseer uw CDN logboeken om nieuwe regels van de verkeersfilter omhoog te komen.
- Aanbevolen starterregels: Een set regels om mee aan de slag te gaan.
- Zelfstudie: Praktische kennis van de eigenschap, met inbegrip van hoe te om dashboardtoolings te gebruiken om de juiste regels te verklaren.
De Adobe nodigt u uit om feedback te geven of vragen te stellen over verkeersfilterregels door per e-mail te verzenden aemcs-waf-adopter@adobe.com.
Overzicht van verkeersbeveiliging traffic-protection-overview
In het huidige digitale landschap is kwaadwillig verkeer een steeds grotere bedreiging. De Adobe erkent de ernst van het risico en biedt verscheidene benaderingen aan om klantentoepassingen te beschermen en aanvallen te verlichten wanneer zij voorkomen.
Bij de rand, absorbeert de Adobe Beheerde CDN de aanvallen van Dos bij de netwerklaag (lagen 3 en 4), met inbegrip van vloed en bezinning/versterkingsaanvallen.
Door gebrek, neemt de Adobe maatregelen om prestatiesverslechtering te verhinderen toe te schrijven aan barsten van onverwacht hoog verkeer boven een bepaalde drempel. Als er een aanval van Dos is die plaatsbeschikbaarheid beïnvloedt, worden de verrichtingenteams van de Adobe gealarmeerd en nemen stappen om te verlichten.
De klanten kunnen pro-actieve maatregelen nemen om de aanvallen van de toepassingslaag (laag 7) te verlichten door regels bij diverse lagen van de stroom van de inhoudslevering te vormen.
Op de Apache-laag kunnen klanten bijvoorbeeld de Dispatcher, module of ModSecurity om de toegang tot bepaalde inhoud te beperken.
Zoals dit artikel beschrijft, kunnen de regels van de verkeersfilter aan de Adobe Geleide CDN worden opgesteld, gebruikend de configuratiepijplijn van de Manager van de Wolk. Naast de regels van de verkeersfilter die op eigenschappen zoals IP adres, weg, en kopballen, of regels worden gebaseerd die op het plaatsen van tariefgrenzen worden gebaseerd, kunnen de klanten een krachtige subcategorie van de regels van de verkeersfilter ook vergunning geven genoemd de regels van WAF.
Voorgesteld proces suggested-process
Het volgende is een geadviseerd proces op hoog niveau van begin tot eind voor het komen met de juiste regels van de verkeersfilter:
- Niet-productie- en productieconfiguratiepijpleidingen configureren, zoals beschreven in de Instellen sectie.
- Klanten die een licentie voor de subcategorie WAF-regels voor verkeersfilters hebben, dienen deze in te schakelen in Cloud Manager.
- Lees en probeer uit het leerprogramma om concreet te begrijpen hoe te om de regels van de verkeersfilter, met inbegrip van de regels van WAF te gebruiken als zij vergunning hebben gekregen. Het leerprogramma begeleidt u door het opstellen van regels aan een dev milieu, simulerend kwaadwillig verkeer, downloadend CDN-logbestandenen deze in dashboardgereedschap.
- De aanbevolen startregels kopiëren naar
cdn.yaml
en stel de configuratie aan het productiemilieu op logboekwijze op. - Na het verzamelen van wat verkeer, analyseer de resultaten gebruikend dashboardgereedschap om na te gaan of er wedstrijden zijn. Lookout voor valse positieven, en maak om het even welke noodzakelijke aanpassingen, uiteindelijk toelatend de starterregels op blokwijze.
- Voeg douaneregels toe die op analyse van de logboeken CDN worden gebaseerd, eerst het testen met gesimuleerd verkeer op ontwikkelmilieu's alvorens aan stadium en productiemilieu's op logboekwijze, dan blokwijze op te stellen.
- Het verkeer van de controle voortdurend, veranderend de regels aangezien het bedreigingslandschap evolueert.
Instellen setup
-
Maak eerst de volgende map en bestandsstructuur in de map op hoofdniveau in uw project in Git:
code language-none config/ cdn.yaml
-
cdn.yaml
moeten metagegevens en een lijst met verkeersfilterregels en WAF-regels bevatten.code language-none kind: "CDN" version: "1" metadata: envTypes: ["dev"] data: trafficFilters: rules: # Block simple path - name: block-path when: allOf: - reqProperty: tier matches: "author|publish" - reqProperty: path equals: '/block/me' action: block
De kind
parameter moet worden ingesteld op CDN
en de versie moet worden ingesteld op de schemaversie, die 1
. Zie de volgende voorbeelden.
-
Als voor WAF-regels een licentie wordt verleend, moet u de functie inschakelen in Cloud Manager, zoals hieronder wordt beschreven voor zowel de nieuwe als de bestaande programmascenario's.
-
Om WAF op een nieuw programma te vormen, controleer WAF-DDOS-beveiliging selectievakje op de Beveiliging als u een productieprogramma toevoegen.
-
WAF op een bestaand programma vormen, uw programma bewerken en op de Beveiliging of controleer de WAF-DDOS op elk gewenst moment.
-
-
Voor milieutypes buiten RDE, creeer een gerichte plaatsing config pijpleiding in de Manager van de Wolk.
Voor RDEs, wordt de bevellijn gebruikt, maar RDE wordt momenteel niet gesteund.
Notities
- U kunt
yq
om de opmaak van uw configuratiebestand lokaal te valideren (bijvoorbeeldyq cdn.yaml
).
Syntaxis verkeersfilterregels rules-syntax
U kunt traffic filter rules
om op patronen zoals IPs, gebruikersagent, verzoekkopballen, hostname, geo, en url aan te passen.
Klanten die een licentie verlenen voor het aanbod Uitgebreide beveiliging of WAF-DDoS-beveiliging, kunnen ook een speciale categorie regels voor het filter configureren, genaamd WAF traffic filter rules
(of WAF-regels voor kort) die verwijzen naar een of meer WAF-vlaggen.
Hier is een voorbeeld van een reeks regels van de verkeersfilter, die ook een regel van WAF omvat.
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev"]
data:
trafficFilters:
rules:
- name: "path-rule"
when:
allOf:
- { reqProperty: path, equals: /block-me }
- { reqProperty: tier, equals: publish }
action:
type: block
- name: "Enable-SQL-Injection-and-XSS-waf-rules-globally"
when: { reqProperty: path, like: "*" }
action:
type: block
wafFlags: [ SQLI, XSS]
Het formaat van de regels van de verkeersfilter in cdn.yaml
wordt hieronder beschreven. Zie sommige andere voorbeelden in een latere sectie en een afzonderlijke sectie over Regels voor tarieflimieten.
string
Condition
{ <getter>: <value>, <predicate>: <value> }
Zie Syntaxis van Condition Structure Hieronder vindt u een beschrijving van de getters, voorspellingen en hoe u meerdere voorwaarden kunt combineren.
Action
RateLimit
Hieronder vindt u een aparte sectie waarin de syntaxis rateLimit wordt beschreven, samen met voorbeelden.
Voorwaardestructuur condition-structure
Een voorwaarde kan een eenvoudige Voorwaarde of een groep Voorwaarden zijn.
Eenvoudige voorwaarde
Een eenvoudige voorwaarde bestaat uit een getter en een voorspelling.
{ <getter>: <value>, <predicate>: <value> }
Groepsvoorwaarden
Een groep Voorwaarden bestaat uit meerdere Eenvoudige en/of Groepsvoorwaarden.
<allOf|anyOf>:
- { <getter>: <value>, <predicate>: <value> }
- { <getter>: <value>, <predicate>: <value> }
- <allOf|anyOf>:
- { <getter>: <value>, <predicate>: <value> }
array[Condition]
array[Condition]
Getter
string
Request-eigenschap.
Een van:
path
: Retourneert het volledige pad van een URL zonder de queryparameters.queryString
: Retourneert het querygedeelte van een URLmethod
: Retourneert de HTTP-methode die in de aanvraag wordt gebruikt.tier
: Retourneert een vanauthor
,preview
, ofpublish
.domain
: Hiermee wordt de eigenschap domain geretourneerd (zoals gedefinieerd in het dialoogvensterHost
header) in kleine lettersclientIp
: Retourneert de client-IP.clientCountry
: Retourneert een tweelettercode (Regionaal indicatorsymbool) die aangeven in welk land de cliënt zich bevindt.
string
string
string
string
application/x-www-form-urlencoded
Voorspelend
string
string
string
string
string
string
array[string]
array[string]
boolean
Notities
- De eigenschap request
clientIp
kan alleen worden gebruikt met de volgende voorspelling:equals
,doesNotEqual
,in
,notIn
.clientIp
kan ook tegen IP waaiers worden vergeleken wanneer het gebruikenin
ennotIn
voorspelt. In het volgende voorbeeld wordt een voorwaarde geïmplementeerd om te beoordelen of een client-IP zich in het IP-bereik van 192.168.0.0/24 bevindt (dus van 192.168.0.0 tot 192.168.0.255):
when:
reqProperty: clientIp
in: [ "192.168.0.0/24" ]
- Adobe beveelt het gebruik van regex101 en Fastly Fiddle wanneer u met regex werkt. U kunt ook meer leren over hoe snel regex in dit artikel.
Handelingsstructuur action-structure
An action
Dit kan een tekenreeks zijn die de handeling opgeeft (toestaan, blokkeren of vastleggen), of een object dat bestaat uit zowel het handelingstype (toestaan, blokkeren of vastleggen) als opties zoals wafFlags en/of status.
Typen handelingen
De acties worden geprioriteerd volgens hun types in de volgende lijst, die wordt bevolen om op de ordeacties te wijzen wordt uitgevoerd:
wafFlags
(facultatief), alert
(optioneel, nog niet vrijgegeven)Als het alarm wordt gespecificeerd, wordt een bericht van het Centrum van Acties verzonden als de regel 10 keer in een 5 minieme venster wordt teweeggebracht. Deze functie wordt nog niet vrijgegeven. Zie de Waarschuwing verkeersfilterregels voor meer informatie over de deelname aan het programma voor vroegtijdige adoptie .
status, wafFlags
(facultatief en wederzijds exclusief), alert
(optioneel, nog niet vrijgegeven)Als het alarm wordt gespecificeerd, wordt een bericht van het Centrum van Acties verzonden als de regel 10 keer in een 5 minieme venster wordt teweeggebracht. Deze functie wordt nog niet vrijgegeven. Zie de Waarschuwing verkeersfilterregels voor meer informatie over de deelname aan het programma voor vroegtijdige adoptie .
wafFlags
(facultatief), alert
(optioneel, nog niet vrijgegeven)Als het alarm wordt gespecificeerd, wordt een bericht van het Centrum van Acties verzonden als de regel 10 keer in een 5 minieme venster wordt teweeggebracht. Deze functie wordt nog niet vrijgegeven. Zie de Waarschuwing verkeersfilterregels voor meer informatie over de deelname aan het programma voor vroegtijdige adoptie .
Lijst met WAF-markeringen waf-flags-list
De wafFlags
eigenschap, die kan worden gebruikt in de licentiebare WAF-regels voor verkeersfilters, kan verwijzen naar het volgende:
/bin/
CMDEXE
terwijl het onbruikbaar maken vals-positief op /bin
vanwege AEM architectuur./foo/./bar
is genormaliseerd naar /foo/bar
).htaccess
bestand of een configuratiebestand dat vertrouwelijke informatie kan lekkenOverwegingen considerations
-
Wanneer twee conflicterende regels worden gecreeerd, nemen de toegestane regels altijd belangrijkheid over de blokregels. Bijvoorbeeld, als u een regel creeert om een specifieke weg en een regel te blokkeren om één specifiek IP adres toe te staan, worden de verzoeken van dat IP adres op de geblokkeerde weg toegestaan.
-
Als een regel wordt aangepast en geblokkeerd, reageert CDN met een
406
retourcode. -
De configuratiedossiers zouden geen geheimen moeten bevatten aangezien zij door iedereen leesbaar zouden zijn die toegang tot de git bewaarplaats heeft.
-
IP de lijsten van gewenste personen die in de Manager van de Wolk worden bepaald hebben voorrang op de Regels van de Filters van het Verkeer.
-
De de regelovereenkomsten van WAF verschijnen slechts in CDN- logboeken voor CDN mist en passen, niet klappen.
Voorbeelden van regels examples
Hier volgen enkele regelvoorbeelden. Zie de tarieflimiteringssectie verder voor voorbeelden van tarieflimietregels.
Voorbeeld 1
Deze regel blokkeert aanvragen afkomstig van IP 192.168.1.1:
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev"]
data:
trafficFilters:
rules:
- name: "block-request-from-ip"
when: { reqProperty: clientIp, equals: "192.168.1.1" }
action:
type: block
Voorbeeld 2
Deze regel blokkeert aanvraag op pad /helloworld
bij het publiceren met een Gebruiker-Agent die Chrome bevat:
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev"]
data:
trafficFilters:
rules:
- name: "block-request-from-chrome-on-path-helloworld-for-publish-tier"
when:
allOf:
- { reqProperty: path, equals: /helloworld }
- { reqProperty: tier, equals: publish }
- { reqHeader: user-agent, matches: '.*Chrome.*' }
action:
type: block
Voorbeeld 3
Deze regel blokkeert verzoeken om publicatie die de queryparameter bevatten foo
, maar staat elk verzoek toe dat van IP 192.168.1.1 komt:
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev"]
data:
trafficFilters:
rules:
- name: "block-request-that-contains-query-parameter-foo"
when:
allOf:
- { queryParam: url-param, equals: foo }
- { reqProperty: tier, equals: publish }
action:
type: block
- name: "allow-all-requests-from-ip"
when: { reqProperty: clientIp, equals: 192.168.1.1 }
action:
type: allow
Voorbeeld 4
Deze regel blokkeert aanvragen om paden /block-me
bij publiceren, en blokkeert elke aanvraag die overeenkomt met een SQLI
of XSS
patroon. Dit voorbeeld omvat een het verkeersfilterregels van WAF, die verwijzingen SQLI
en XSS
WAF-vlaggenen dus een aparte vergunning vereist.
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev"]
data:
trafficFilters:
rules:
- name: "path-rule"
when:
allOf:
- { reqProperty: path, equals: /block-me }
- { reqProperty: tier, equals: publish }
action:
type: block
- name: "Enable-SQL-Injection-and-XSS-waf-rules-globally"
when: { reqProperty: path, like: "*" }
action:
type: block
wafFlags: [ SQLI, XSS]
Voorbeeld 5
Deze regel blokkeert de toegang tot OFAC-landen:
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev"]
data:
trafficFilters:
rules:
- name: block-ofac-countries
when:
allOf:
- reqProperty: tier
matches: "author|publish"
- reqProperty: clientCountry
in:
- SY
- BY
- MM
- KP
- IQ
- CD
- SD
- IR
- LR
- ZW
- CU
- CI
action: block
Regels voor tarieflimieten
Soms is het wenselijk om verkeer te blokkeren als het een bepaald tarief van inkomende verzoeken, gebaseerd op een specifieke voorwaarde overschrijdt. Een waarde instellen voor de rateLimit
eigenschap beperkt de snelheid van die aanvragen die overeenkomen met de regelvoorwaarde.
Regels voor tarieflimieten kunnen niet verwijzen naar WAF-vlaggen. Ze zijn beschikbaar voor alle klanten van Sites en Forms.
Snelheidslimieten worden berekend per CDN POP. Als voorbeeld, veronderstel dat POPs in Montreal, Miami, en Dublin verkeerstarieven van 80, 90, respectievelijk 120 verzoeken per seconde ervaren. En de tarieflimietregel is ingesteld op een limiet van 100. In dat geval zou alleen het verkeer naar Dublin beperkt zijn.
De grenzen van het tarief worden geëvalueerd gebaseerd op of verkeer dat de rand raakt, verkeer dat de oorsprong raakt, of het aantal fouten.
rateLimit-structuur ratelimit-structure
Voorbeelden ratelimiting-examples
Voorbeeld 1
Deze regel blokkeert een cliënt voor 5 milliseconden wanneer het een gemiddelde van 60 req/sec (per KNP CDN) in de laatste 10 sec overschrijdt:
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev"]
data:
trafficFilters:
rules:
- name: limit-requests-client-ip
when:
reqProperty: tier
matches: "author|publish"
rateLimit:
limit: 60
window: 10
penalty: 300
count: all
groupBy:
- reqProperty: clientIp
action: block
Voorbeeld 2
De verzoeken van het blok op weg /kritiek/middel voor 60 seconden wanneer het een gemiddelde van 100 verzoeken aan oorsprong per seconde (per CDN POP) op een tijdvenster van tien seconden overschrijdt:
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev"]
data:
trafficFilters:
rules:
- name: rate-limit-example
when:
allOf:
- { reqProperty: path, equals: /critical/resource }
- { reqProperty: tier, equals: publish }
action:
type: block
rateLimit: { limit: 100, window: 10, penalty: 60, count: fetches }
Waarschuwing verkeersfilterregels traffic-filter-rules-alerts
Een regel kan worden gevormd om een bericht van het Centrum van Acties te verzenden als het tien keer binnen een 5 minieme venster wordt teweeggebracht. Een dergelijke regel waarschuwt u wanneer bepaalde verkeerspatronen voorkomen zodat u om het even welke noodzakelijke maatregelen kunt nemen. Meer informatie over Handelingencentrum, inclusief hoe u de vereiste meldingsprofielen instelt voor het ontvangen van e-mailberichten.
De eigenschap alert (momenteel voorafgegaan door experimenteel aangezien de eigenschap nog niet wordt vrijgegeven) kan op de actieknooppunt voor alle actietypes (toestaan, blok, logboek) worden toegepast.
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev"]
data:
trafficFilters:
rules:
- name: "path-rule"
when:
allOf:
- { reqProperty: path, equals: /block-me }
- { reqProperty: tier, equals: publish }
action:
type: block
experimental_alert: true
Standaardverkeersspiegel bij oorspronkelijke waarschuwing traffic-spike-at-origin-alert
An Handelingencentrum Het e-mailbericht zal worden verzonden wanneer er een significante hoeveelheid verkeer is die naar de oorsprong wordt verzonden, waar een hoge drempel van verzoeken van het zelfde IP adres komt, zo wijzend op een aanval DDoS.
Als deze greep wordt voldaan aan, zal de Adobe verkeer van dat IP adres blokkeren, maar het wordt geadviseerd om extra maatregelen te nemen om uw oorsprong te beschermen, met inbegrip van het vormen van de regels van de de filterfilter van de tariefgrens om verkeerspikes bij lagere drempels te blokkeren. Zie de Het blokkeren Dos en aanvallen DDoS gebruikend het leerprogramma van de verkeersregels voor een geleide doortocht.
Deze waarschuwing is standaard ingeschakeld, maar u kunt deze uitschakelen via de enable_ddos_waarschuwingen eigenschap, ingesteld op false.
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev"]
data:
trafficFilters:
enable_ddos_alerts: false
CDN-logs cdn-logs
AEM as a Cloud Service verleent toegang tot CDN logboeken, die voor gebruiksgevallen met inbegrip van de optimalisering van de geheim voorgeheugenklapverhouding, en het vormen van de regels van de verkeersfilter nuttig zijn. CDN-logboeken worden weergegeven in Cloud Manager Logbestanden downloaden wanneer u de service Auteur of Publiceren selecteert.
CDN-logbestanden kunnen maximaal vijf minuten worden vertraagd.
De rules
De eigenschap beschrijft welke regels voor verkeersfilters worden aangepast en heeft het volgende patroon:
"rules": "match=<matching-customer-named-rules-that-are-matched>,waf=<matching-WAF-rules>,action=<action_type>"
Bijvoorbeeld:
"rules": "match=Block-Traffic-under-private-folder,Enable-SQL-injection-everywhere,waf="SQLI,SANS",action=block"
De regels gedragen zich als volgt:
- De klant-verklaarde regelnaam van om het even welke passende regels is vermeld in
match
kenmerk. - De
action
het attribuut bepaalt of de regels blokkeren, toestaan, of logboek. - Als WAF vergunning en toegelaten is,
waf
In dit kenmerk worden alle WAF-markeringen weergegeven die zijn gedetecteerd (bijvoorbeeld SQLI). Dit is waar ongeacht of de vlaggen van WAF in om het even welke regels werden vermeld. Dit moet inzicht verschaffen in mogelijke nieuwe regels die moeten worden gedeclareerd. - Als er geen door de klant gedeclareerde regels overeenkomen en er geen waf-regels overeenkomen, wordt de
rules
eigenschap is leeg.
Zoals eerder vermeld, verschijnen de de regelovereenkomsten van WAF slechts in CDN- logboeken voor CDN missen en overgaan, niet klappen.
In het onderstaande voorbeeld ziet u een voorbeeld cdn.yaml
en twee CDN-logitems:
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev"]
data:
trafficFilters:
rules:
- name: "path-rule"
when: { reqProperty: path, equals: /block-me }
action: block
- name: "Enable-SQL-Injection-and-XSS-waf-rules-globally"
when: { reqProperty: path, like: "*" }
action:
type: block
wafFlags: [ SQLI, XSS ]
{
"timestamp": "2023-05-26T09:20:01+0000",
"ttfb": 19,
"cli_ip": "147.160.230.112",
"cli_country": "CH",
"rid": "974e67f6",
"req_ua": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0.3 Safari/605.1.15",
"host": "example.com",
"url": "/block-me",
"method": "GET",
"res_ctype": "",
"cache": "PASS",
"status": 406,
"res_age": 0,
"pop": "PAR",
"rules": "match=path-rule,action=blocked"
}
{
"timestamp": "2023-05-26T09:20:01+0000",
"ttfb": 19,
"cli_ip": "147.160.230.112",
"cli_country": "CH",
"req_ua": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0.3 Safari/605.1.15",
"rid": "974e67f6",
"host": "example.com",
"url": "/?sqli=%27%29%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL--%20fAPK",
"method": "GET",
"res_ctype": "image/png",
"cache": "PASS",
"status": 406,
"res_age": 0,
"pop": "PAR",
"rules": "match=Enable-SQL-Injection-and-XSS-waf-rules-globally,waf=SQLI,action=blocked"
}
Logbestandsindeling cdn-log-format
Hieronder vindt u een lijst met veldnamen die in CDN-logbestanden worden gebruikt, samen met een korte beschrijving.
Geeft ook aan of de overeenkomst tot een blok heeft geleid.
Bijvoorbeeld "
match=Enable-SQL-Injection-and-XSS-waf-rules-globally,waf=SQLI,action=blocked
"Leeg als geen regels overeenkomen.
Dashboard Tooling dashboard-tooling
Adobe biedt een mechanisme voor het downloaden van dashboardgereedschappen naar uw computer voor het invoeren van CDN-logbestanden die zijn gedownload via Cloud Manager. Met dit tooling, kunt u uw verkeer analyseren om omhoog met de aangewezen regels van de verkeersfilter te komen om te verklaren, met inbegrip van de regels van WAF.
Gereedschap Dashboard kan rechtstreeks worden gekloond vanuit het dialoogvenster AEMCS-CDN-Log-Analysis-Tool GitHub-opslagplaats.
Tutorials zijn beschikbaar voor concrete instructies over het gebruik van de dashboardgereedschappen.
Aanbevolen startregels recommended-starter-rules
U kunt de aanbevolen regels hieronder kopiëren naar uw cdn.yaml
aan de slag. Begin op logboekwijze, analyseer uw verkeer, en wanneer tevreden, verandering in blokwijze. Mogelijk wilt u de regels wijzigen op basis van de unieke kenmerken van het live verkeer van uw website.
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev", "stage", "prod"]
data:
trafficFilters:
rules:
# Block client for 5m when it exceeds an average of 100 req/sec to origin on a time window of 10sec
- name: limit-origin-requests-client-ip
when:
reqProperty: tier
equals: 'publish'
rateLimit:
limit: 100
window: 10
count: fetches
penalty: 300
groupBy:
- reqProperty: clientIp
action: log
# Block client for 5m when it exceeds an average of 500 req/sec on a time window of 10sec
- name: limit-requests-client-ip
when:
reqProperty: tier
equals: 'publish'
rateLimit:
limit: 500
window: 10
count: all
penalty: 300
groupBy:
- reqProperty: clientIp
action: log
# Block requests coming from OFAC countries
- name: block-ofac-countries
when:
allOf:
- { reqProperty: tier, in: ["author", "publish"] }
- reqProperty: clientCountry
in:
- SY
- BY
- MM
- KP
- IQ
- CD
- SD
- IR
- LR
- ZW
- CU
- CI
action: log
# Enable recommended WAF protections (only works if WAF is licensed enabled for your environment)
- name: block-waf-flags-globally
when:
reqProperty: tier
in: ["author", "publish"]
action:
type: log
wafFlags:
- TRAVERSAL
- CMDEXE-NO-BIN
- XSS
- LOG4J-JNDI
- BACKDOOR
- USERAGENT
- SQLI
- SANS
- TORNODE
- NOUA
- SCANNER
- PRIVATEFILE
- NULLBYTE
Tutorials tutorial
Er zijn twee zelfstudies beschikbaar.
Websites beschermen met verkeersfilterregels (inclusief WAF-regels) tutorial-protecting-websites
Een zelfstudie gebruiken algemene, praktische kennis en ervaring op te doen met verkeersfilterregels, met inbegrip van WAF-regels.
De zelfstudie begeleidt u door:
- De configuratiepijplijn van Cloud Manager instellen
- Het gebruiken van hulpmiddelen om kwaadwillig verkeer te simuleren
- Regels voor het declareren van verkeersfilters, inclusief WAF-regels
- Resultaten analyseren met dashboardgereedschappen
- Aanbevolen procedures
Het blokkeren Dos en de aanvallen van DDoS gebruikend de regels van de verkeersfilter tutorial-blocking-DDoS-with-rules
Diep duiken op hoe te om te blokkeren Ontkenning van de (Dos) van de Dienst en Verdeelde Ontkenning van de (DDoS) aanvallen van de Dienst gebruikend de regels van de het verkeersfilter van de tariefgrens en andere strategieën.
De zelfstudie begeleidt u door:
- begrijpen, beveiliging
- ontvangen van waarschuwingen wanneer tarieflimieten worden overschreden
- het analyseren van verkeerspatronen gebruikend dashboardtooling om drempels voor de regels van de snelheidsgrensfilter te vormen