Verkeersfilterregels inclusief WAF-regels traffic-filter-rules-including-waf-rules

Laatst bijgewerkt: 20 mei 2026

Van toepassing op:
Experience Manager as a Cloud Service

Onderwerpen:
Security

Gemaakt voor:

Admin

De filterregels van het verkeer blokkeren of staan verzoeken bij de laag CDN toe, die in scenario’s zoals het volgende nuttig is:

Het beperken van toegang tot specifieke domeinen aan intern bedrijfverkeer, alvorens een nieuwe plaats levend gaat.
Om minder gevoelig voor volumetrische aanvallen van Dos te zijn, bepaal tariefgrenzen.
Voorkomen dat IP-adressen waarvan bekend is dat ze kwaadaardig zijn, zich richten op uw pagina’s.

Veel van deze regels voor verkeersfilters zijn beschikbaar voor alle AEM as a Cloud Service-sites en Forms-klanten. Als standaardregels van de verkeersfilter, werken zij op verzoekeigenschappen: IP, hostname, weg, en gebruikersagent. De standaard regels van de verkeersfilter omvatten tarief grensregels om tegen verkeerspikes te beschermen.

Een subcategorie van de regels van de verkeersfilter vereist of een Uitgebreide Beveiliging (vroeger genoemd Bescherming WAF-DDoS) of Uitgebreide Veiligheid voor Gezondheid (vroeger genoemd Uitgebreide Veiligheid) vergunning. Deze krachtige regels zijn gekend als het verkeersfilterregels van het het verkeersfilter van WAF (of WAF regels) en hebben toegang tot de Vlaggen van WAF later in dit artikel wordt beschreven dat.

De filterregels van het verkeer kunnen via Cloud Manager config pijpleidingen worden opgesteld om, stadium, en de types van productiemilieu te ontwikkelen. Het configuratiedossier kan aan de Milieu’s van de Snelle Ontwikkeling (RDEs) worden opgesteld gebruikend bevellijn tooling.

Om deskundigheid op deze eigenschap snel te bereiken, voltooi een leerprogramma .

NOTE

Voor extra CDN verkeer configuratie opties-zulke zoals het uitgeven verzoeken/reacties, het verklaren van opnieuw richt, en het proxying aan niet-AEM oorsprong-zie het Vormen Verkeer bij het CDN artikel.

Hoe dit artikel is ingedeeld how-organized

Dit artikel is onderverdeeld in de volgende secties:

overzicht van de bescherming van het Verkeer: leer hoe u tegen kwaadwillig verkeer wordt beschermd.
Voorgesteld proces om regels te vormen: las over een methodologie op hoog niveau voor het beschermen van uw website.
Opstelling: ontdekt hoe te opstelling, vorm, en stel de regels van de verkeersfilter, met inbegrip van de geavanceerde regels van WAF op.
syntaxis van Regels: las over hoe te om de regels van de verkeersfilter in het cdn.yaml configuratiedossier te verklaren. Dit omvat zowel de regels van de verkeersfilter beschikbaar aan alle Sites en klanten van Forms, als de subcategorie van de regels van WAF voor degenen die van dat vermogen vergunning geven.
de voorbeelden van Regels: om begonnen te worden, zie voorbeelden van gedeclareerde regels.
de grensregels van het Tarief: leer hoe te om tarief te gebruiken die regels beperken om uw plaats tegen hoge volumeaanvallen te beschermen.
de Regels van de Filter van het Verkeer Alarm: vorm alarm om op de hoogte te worden gebracht wanneer uw regels worden teweeggebracht.
StandaardSpiek van het Verkeer bij Herinnering van de Oorsprong: krijg op de hoogte wanneer er een toename van verkeer bij de oorsprong wijzend op een aanval DDoS is.
CDN logboeken: zie welke verklaarde regels en de Vlaggen van WAF uw verkeer aanpassen.
Tooling van het Dashboard: Analyseer uw CDN- logboeken om omhoog met nieuwe regels van de verkeersfilter te komen.
geadviseerde Regels van de Aanzet: Een reeks regels om met te beginnen.
Leerprogramma: Informatie over de eigenschap, met inbegrip van hoe te om dashboardtoolings te gebruiken om de aangewezen regels te verklaren.

Overzicht van verkeersbeveiliging traffic-protection-overview

In het huidige digitale landschap is kwaadwillig verkeer een steeds grotere bedreiging. Adobe erkent de ernst van het risico en biedt verschillende manieren om klanttoepassingen te beschermen en aanvallen te beperken wanneer deze zich voordoen.

Aan de rand absorbeert de door Adobe beheerde CDN DoS-aanvallen op de netwerklaag (lagen 3 en 4), inclusief overstroming en reflectie-/versterkingsaanvallen.

Adobe neemt standaard maatregelen om te voorkomen dat de prestaties achteruitgaan als gevolg van uitbarstingen van onverwacht hoog verkeer boven een bepaalde drempel. Als er een aanval van Dos is die plaatsbeschikbaarheid beïnvloedt, worden de verrichtingenteams van Adobe gewaarschuwd en nemen stappen om te verlichten.

De klanten nemen pro-actieve maatregelen om de aanvallen van de toepassingslaag (laag 7) te verlichten door regels bij diverse lagen van de stroom van de inhoudslevering te vormen.

Bijvoorbeeld, bij de laag Apache, vormen de klanten of de module van Dispatcher of ModSecurity om toegang tot bepaalde inhoud te beperken.

Aangezien dit artikel beschrijft, stellen de regels van de verkeersfilter aan Adobe Beheerde CDN op gebruikend Cloud Manager config pijpleidingen in werking. Buiten standaard de regels van de verkeersfilter (IP, weg, kopballen, tariefgrenzen), de regels van WAF van de klantenvergunning **.

Voorgesteld proces suggested-process

Het volgende is een op hoog niveau geadviseerd proces van begin tot eind voor het bepalen van de juiste regels van de verkeersfilter:

Vorm niet-productie en productie config pijpleidingen, zoals die in de sectie van de Opstelling worden beschreven.

De klanten die de regels van de het verkeersfilter van WAF vergunning hebben gegeven laten hen in Cloud Manager toe.

note important
IMPORTANT
Het verlenen van vergunningen WAF regels activeert hen niet. De eigenschap blijft inactief tot de Beveiliging van WAF-DDOS op het 3} lusje van de Veiligheid {in Cloud Manager wordt gecontroleerd. Zie tot de Programma's van de Productie leiden of Programma's uitgeven om de eigenschap toe te laten.

Lees en voltooi het leerprogramma om te begrijpen hoe te om de regels van de verkeersfilter, met inbegrip van de regels van WAF te gebruiken als zij vergunning hebben gekregen. Het leerprogramma begeleidt u door het opstellen van regels aan een dev milieu, dat kwaadwillig verkeer simuleert, de CDN- logboeken downloadt, en hen analyseert in dashboard tooling .
Kopieer de geadviseerde starterregels aan cdn.yaml en stel de configuratie aan het productiemilieu, met sommige regels op logboekwijze op.
Na het verzamelen van wat verkeer, analyseer de resultaten gebruikend dashboard tooling om te zien of waren er om het even welke gelijken. Zoek naar valse positieven en breng de noodzakelijke aanpassingen aan, waardoor uiteindelijk alle starterregels in de blokmodus mogelijk worden.
Indien nodig, voeg douaneregels toe die op analyse van de CDN- logboeken worden gebaseerd, eerst het testen met gesimuleerd verkeer op dev milieu’s alvorens aan stadium en productiemilieu’s op logboekwijze op te stellen, dan blokwijze.
Het verkeer van de controle voortdurend, veranderend de regels aangezien het bedreigingslandschap evolueert.

Instellen setup

Maak een bestand cdn.yaml met een set verkeersfilterregels, waaronder WAF-regels. Bijvoorbeeld:

code language-none

code language-none
`kind: "CDN" version: "1" data: trafficFilters: rules: # Block simple path - name: block-path when: allOf: - reqProperty: tier matches: "author\|publish" - reqProperty: path equals: '/block/me' action: block`

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
    # Block simple path
    - name: block-path
      when:
        allOf:
          - reqProperty: tier
            matches: "author|publish"
          - reqProperty: path
            equals: '/block/me'
      action: block

Zie Gebruikend Pijpleidingen Config voor een beschrijving van de eigenschappen boven de data knoop. De kind bezitswaarde zou aan CDN moeten worden geplaatst en de versie zou aan 1 moeten worden geplaatst.

Als de regels van WAF worden toegelaten, moet u  de eigenschap in Cloud Manager toelaten. De in licentie gegeven regels van WAF zijn niet actief en verstrekken geen bescherming tot  de Bescherming van WAF-DDOS** wordt gecontroleerd. Schakel de functie in voor zowel de nieuwe als de bestaande programmascenario’s, zoals hieronder wordt beschreven:
1. Om WAF op een nieuw programma te vormen, controleer het controlevakje van de Bescherming van WAF-DDOS op het 3} lusje van de Veiligheid {wanneer u een productieprogramma creeert.
2. Om WAF op een bestaand programma te vormen, geef uw programma uit. Op het lusje van de Veiligheid, controleer de bescherming WAF-DDOS optie om de eigenschap toe te laten, of uncheck het om de eigenschap onbruikbaar te maken. U kunt deze instelling op elk gewenst moment wijzigen.
  
  Om de eigenschap te bevestigen is actief nadat u het toelaat, inspecteer de CDN logboeken zodra het verkeer aan de plaats stroomt. Zoek naar logitems die een eigenschap rules met een kenmerk waf bevatten. Bijvoorbeeld:
  
  "rules": "waf=SQLI"
  
  Dit kenmerk wordt weergegeven als WAF actief is, zelfs voordat WAF-regels worden geïmplementeerd.
Creeer een config pijpleiding in Cloud Manager, zoals die in het wordt beschreven config pijpleidingsartikel . De pijpleidingsverwijzingen een hoogste niveau config omslag met het cdn.yaml dossier dat ergens onder wordt geplaatst, zie Gebruikend Pijpleidingen Config .

Syntaxis van verkeersfilterregels rules-syntax

Om patronen zoals IP, gebruikersagent, kopballen, hostname, geo, of URL aan te passen, kunt u regels van de verkeersfilter vormen.

De klanten met een Uitgebreide Veiligheid of Uitgebreide Veiligheid voor de vergunning van de Gezondheidszorg vormen regels van WAF die de vlaggen van WAF van verwijzingen voorzien.

Hier is een voorbeeld van een reeks regels van de verkeersfilter, die ook een regel van WAF omvat.

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: "path-rule"
        when:
          allOf:
            - { reqProperty: path, equals: /block-me }
            - { reqProperty: tier, equals: publish }
        action:
          type: block
      - name: "Enable-SQL-Injection-and-XSS-waf-rules-globally"
        when: { reqProperty: path, like: "*" }
        action:
          type: block
          wafFlags: [ SQLI, XSS]

De indeling van de verkeersfilterregels in het cdn.yaml -bestand wordt hieronder beschreven. Zie sommige andere voorbeelden in een recentere sectie, en een afzonderlijke sectie over Regels van de Grens van het Tarief .

Bezit

de Meeste regels van de verkeersfilter

de regels van de het verkeersfilter van WAF

Type

Standaardwaarde

Beschrijving

name

string

Regelnaam (64 tekens lang, alleen alfanumerieke tekens en -)

wanneer

Condition

De basisstructuur is:

{ <getter>: <value>, <predicate>: <value> }

zie Structuur van de Voorwaarde in het Vormen Verkeer bij CDN voor vangers, voorspelt, en hoe te om veelvoudige voorwaarden te combineren.

action

Action

log

log, allow, block of Action-object. Standaard is log

rateLimit

RateLimit

niet gedefinieerd

Snelheidsbeperkende configuratie. Snelheidsbeperking is uitgeschakeld als deze niet is gedefinieerd.

Er is een afzonderlijke sectie verder onder beschrijvend de rateLimit syntaxis, samen met voorbeelden.

Actiestructuur action-structure

Een action kan een tekenreeks zijn die de handeling opgeeft (toestaan, blokkeren of vastleggen), of een object dat is samengesteld uit zowel het handelingstype (toestaan, blokkeren of vastleggen) als opties zoals wafFlags en/of status.

Types van Acties

De acties worden geprioriteerd volgens hun types in de volgende lijst, die wordt bevolen om op de ordeacties te wijzen wordt uitgevoerd:

Naam

Toegestane Eigenschappen

Betekenis

toestaan

wafFlags (optioneel), alert (optioneel)

als wafFlags niet aanwezig is, houdt verdere regelverwerking tegen en gaat aan het dienen van reactie te werk. Als wafFlags aanwezig is, maakt het gespecificeerde bescherming van WAF onbruikbaar en gaat aan verdere regelverwerking te werk.
als het alarm wordt gespecificeerd, wordt een bericht van het Centrum van Acties verzonden als de regel 10 keer in een 5 minieme venster wordt teweeggebracht. Zodra een alarm voor een bepaalde regel in werking wordt gesteld, zal het niet opnieuw weg tot de volgende dag (UTC).

blok

status, wafFlags (optioneel en wederzijds exclusief), alert (optioneel)

als wafFlags niet aanwezig is, retourneert de HTTP-fout waarbij alle andere eigenschappen worden overgeslagen, wordt de foutcode gedefinieerd door de status-eigenschap of is de standaardwaarde 406. Als wafFlags aanwezig is, laat het gespecificeerde bescherming van WAF toe en gaat aan verdere regelverwerking te werk.
als het alarm wordt gespecificeerd, wordt een bericht van het Centrum van Acties verzonden als de regel 10 keer in een 5 minieme venster wordt teweeggebracht. Zodra een alarm voor een bepaalde regel in werking wordt gesteld, zal het niet opnieuw weg tot de volgende dag (UTC).

logboek

wafFlags (optioneel), alert (optioneel)

registreert het feit dat de regel werd teweeggebracht, anders beïnvloedt niet de verwerking. wafFlags heeft geen effect.
als het alarm wordt gespecificeerd, wordt een bericht van het Centrum van Acties verzonden als de regel 10 keer in een 5 minieme venster wordt teweeggebracht. Zodra een alarm voor een bepaalde regel in werking wordt gesteld, zal het niet opnieuw weg tot de volgende dag (UTC).

WAF-vlaggen waf-flags-list

De eigenschap wafFlags , die wordt gebruikt in de licentieable WAF-regels voor verkeersfilters, verwijst naar het volgende:

Slecht verkeer

identiteitskaart van de Vlag

de Naam van de Vlag

Beschrijving

AANVALLEN

Aanvallen

Een samenvoeging van vlaggen met betrekking tot kwaadwillig verkeer (SQLI, CMDEXE, XSS, enz.). Zie de Aanbevolen sectie van de WAF-regels voor hoe deze vlag effectief kan worden gebruikt.

AANVALLEN VANUIT BAD-IP

Aanval van slechte IP

Vergelijkbaar met de markering ATTACK, maar “logisch EN-met” met de markering BAD-IP , zodat een aanvraag wordt gemarkeerd als deze zowel overeenkomt met de markering ATTACK als met de tag BAD-IP. Zie de Aanbevolen sectie van de WAF-regels voor hoe deze vlag effectief kan worden gebruikt.

SQLI

SQL-injectie

SQL de Injectie is de poging om toegang tot een toepassing te verkrijgen of bevoorrechte informatie te verkrijgen door willekeurige gegevensbestandvragen uit te voeren.

BACKEUR

Achterkant

Een achterdeursignaal is een verzoek dat probeert te bepalen als een gemeenschappelijk achterdeurdossier op het systeem aanwezig is.

CMDEXE

Opdracht uitvoeren

De Uitvoering van het bevel is de poging om controle te verkrijgen of een doelsysteem door willekeurige systeembevelen door middel van gebruikersinput te beschadigen.

CMDEXE-NO-BIN

Opdracht uitvoeren, behalve op /bin/

Zorg voor hetzelfde beschermingsniveau als CMDEXE en schakel false-positive in /bin uit vanwege AEM-architectuur.

XSS

Scripts voor meerdere sites

Met scripts die verwijzen naar andere sites wordt geprobeerd een gebruikersaccount of een webbrowsersessie te kapen via kwaadaardige JavaScript-code.

TRAVERSAL

Directorytraversal

Directorytraversal is de poging om bevoorrechte omslagen door een systeem in hoop te navigeren om gevoelige informatie te verkrijgen.

GEBRUIKER

Gereedschap Bijsluiten

De Tooling van de aanval is het gebruik van geautomatiseerde software om veiligheidskwetsbaarheid te identificeren of te proberen om een ontdekte kwetsbaarheid te exploiteren.

LOG4J-JNDI

Log4J JNDI

De aanvallen van Log4J JNDI proberen om de kwetsbaarheid Log4Shell huidig in versies Log4J vroeger dan 2.16.0 te exploiteren

CVE

Markering om een CVE te identificeren. Wordt altijd gecombineerd met een markering CVE-<CVE Number> . Neem contact op met Adobe voor meer informatie over welke CVE’s Adobe u beschermt.

Verdacht verkeer

identiteitskaart van de Vlag

de Naam van de Vlag

Beschrijving

ABNORMALPATH

Abnormaal pad

Abnormaal pad geeft aan dat het oorspronkelijke pad afwijkt van het genormaliseerde pad (/foo/./bar is bijvoorbeeld genormaliseerd naar /foo/bar)

BAD-IP

Onjuiste IP

Identificeert verzoeken die afkomstig zijn van IP-adressen waarvan bekend is dat ze kwaadaardig zijn, door opname in gegevenssets zoals SANS en TORNODE of op basis van eerdere detectie van kwaadaardig gedrag door de WAF

BHH

Onjuiste koppen

De slechte Kopballen van de Hop wijzen op een HTTP het smokkelen poging door of een misvormde overdracht-Codering (TE) of een inhoud-Lengte (CL) kopbal, of een goed gevormde TE en kopbal CL

CODEINJECTIE

Code-injectie

De Injectie van de code is de poging om controle te verkrijgen of een doelsysteem door arbitraire bevelen van de toepassingscode door gebruikersinput te beschadigen.

GECOMPRIMEERD

Compressie gedetecteerd

De POST-aanvraaginstantie is gecomprimeerd en kan niet worden gecontroleerd. Als bijvoorbeeld een aanvraagheader Content-Encoding: gzip is opgegeven en de hoofdtekst van de POST geen onbewerkte tekst is.

RESPONSESPLIT

HTTP-antwoordsplitsing

Identificeert wanneer CRLF-tekens als invoer naar de toepassing worden verzonden om headers in de HTTP-reactie te injecteren

NOTUTF8

Ongeldige codering

Ongeldige codering kan ertoe leiden dat de server schadelijke tekens van een verzoek in een reactie omzet, wat of een ontkenning van de dienst of XSS veroorzaakt

MALFORMED-DATA

Onjuiste gegevens in de aanvraaginstantie

Een POST-, PUT- of PATCH-aanvraaginstantie die onjuist is samengesteld volgens de aanvraagheader “Content-Type”. Bijvoorbeeld, als “Content-Type: application/x-www-form-urlencoded” request header is specified and contains a POST body that is json. Dit is vaak een programmeerfout, een geautomatiseerd of een kwaadwillig verzoek. Vereist agent 3.2 of hoger.

SANS

Verkeer van kwaadwillige IP

SANS Internet Storm Center lijst van gemelde IP adressen die in kwaadwillige activiteit betrokken waren.

NO-CONTENT-TYPE

Ontbrekende aanvraagheader “Content-Type”

A POST, PUT, or PATCH request that does not have a “Content-Type” request header. Toepassingsservers moeten standaard het inhoudssoort gebruiken: tekst/onbewerkt; charset=us-ascii" in dit geval. Bij veel geautomatiseerde en kwaadaardige verzoeken ontbreekt mogelijk het type inhoud.

NOUA

Geen gebruikersagent

Geeft aan dat een aanvraag geen header “User-Agent” bevat of dat de headerwaarde niet is ingesteld.

NULLBYTE

Null Byte

Null-bytes worden normaal gesproken niet weergegeven in een verzoek en geven aan dat het verzoek onjuist is geformuleerd en mogelijk kwaadaardig is.

OOB-DOMAIN

Buiten-banddomein

Buiten-de-banddomeinen worden over het algemeen gebruikt tijdens penetratie het testen om kwetsbaarheid te identificeren waarin de netwerktoegang wordt toegestaan.

PRIVATEFIEL

Persoonlijke bestanden

Persoonlijke bestanden zijn vertrouwelijk, zoals een Apache .htaccess -bestand of een configuratiebestand dat vertrouwelijke informatie kan lekken

SCANNER

Scanner

Identificeert populaire scanservices en -gereedschappen

Diversen verkeer

identiteitskaart van de Vlag

de Naam van de Vlag

Beschrijving

DATACENTER

Datacenter

Identificeert de aanvraag als afkomstig van een bekende hostingprovider. Dit type van verkeer wordt niet algemeen geassocieerd met een echt eind - gebruiker.

DOUBLEENCODERING

Dubbele codering

De dubbele Codering controleert de ontduikingstechniek van het tweemaal coderen van HTML- karakters

JSON-ERROR

JSON-coderingsfout

A POST, PUT, or PATCH request body that is specified as containing JSON within the “Content-Type” request header but contains JSON parsing errors. Dit heeft vaak te maken met een programmeerfout of een geautomatiseerd of kwaadaardig verzoek.

TORNODE

Teerverkeer

Tor is software die de identiteit van een gebruiker verbergt. Een piek in het verkeer van de Tor kan op een aanvaller wijzen die probeert om hun plaats te maskeren.

XML-ERROR

XML-coderingsfout

A POST, PUT, or PATCH request body that is specified as containing XML within the “Content-Type” request header but contains XML parsing errors. Dit heeft vaak te maken met een programmeerfout of een geautomatiseerd of kwaadaardig verzoek.

Overwegingen considerations

Wanneer twee conflicterende regels worden gecreeerd, nemen de toegestane regels altijd belangrijkheid over de blokregels. Bijvoorbeeld, als u een regel creeert om een specifieke weg en een regel te blokkeren om één specifiek IP adres toe te staan, worden de verzoeken van dat IP adres op de geblokkeerde weg toegestaan.
Als een regel wordt aangepast en geblokkeerd, reageert de CDN met een 406 retourcode.
De configuratiedossiers bevatten geen geheimen omdat zij leesbaar zijn door iedereen die toegang tot de git bewaarplaats heeft.
IP de lijsten van gewenste personen die in Cloud Manager worden bepaald hebben voorrang op de Regels van de Filters van het Verkeer.
WAF-regelovereenkomsten worden alleen weergegeven in CDN-logboeken voor CDN-fouten en -controles, niet-treffers.

Voorbeelden van regels examples

Hier volgen enkele regelvoorbeelden. Zie de sectie van de tariefgrens verder neer voor voorbeelden van de regels van de tariefgrens.

Voorbeeld 1

Deze regel blokkeert aanvragen die afkomstig zijn van IP192.168.1.1 :

kind: "CDN"
version: "1"
data:
  trafficFilters:
     rules:
       - name: "block-request-from-ip"
         when: { reqProperty: clientIp, equals: "192.168.1.1" }
         action:
           type: block

Voorbeeld 2

Deze regel blokkeert aanvragen om een pad /helloworld bij publicatie met een gebruikersagent die Chrome bevat:

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: "block-request-from-chrome-on-path-helloworld-for-publish-tier"
        when:
          allOf:
          - { reqProperty: path, equals: /helloworld }
          - { reqProperty: tier, equals: publish }
          - { reqHeader: user-agent, matches: '.*Chrome.*'  }
        action:
          type: block

Voorbeeld 3

Deze regel blokkeert verzoeken om publicatie die de vraagparameter foo bevatten, maar staat elke aanvraag toe die uit IP 192.168.1.1 komt:

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: "block-request-that-contains-query-parameter-foo"
        when:
          allOf:
            - { queryParam: url-param, equals: foo }
            - { reqProperty: tier, equals: publish }
        action:
          type: block
      - name: "allow-all-requests-from-ip"
        when: { reqProperty: clientIp, equals: 192.168.1.1 }
        action:
          type: allow

Voorbeeld 4

Deze regel blokkeert aanvragen om een pad /block-me bij publicatie en blokkeert elke aanvraag die overeenkomt met een patroon SQLI of XSS . Dit voorbeeld omvat een regel van de het verkeersfilter van WAF, die SQLI en XSS Vlaggen van WAF van verwijzingen voorziet, en zo een afzonderlijke vergunning vereist.

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: "path-rule"
        when:
          allOf:
            - { reqProperty: path, equals: /block-me }
            - { reqProperty: tier, equals: publish }
        action:
          type: block
      - name: "Enable-SQL-Injection-and-XSS-waf-rules-globally"
        when: { reqProperty: path, like: "*" }
        action:
          type: block
          wafFlags: [ SQLI, XSS]

Voorbeeld 5

Deze regel blokkeert de toegang tot OFAC-landen:

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: block-ofac-countries
        when:
          allOf:
            - reqProperty: tier
              matches: "author|publish"
            - reqProperty: clientCountry
              in:
                - SY
                - BY
                - MM
                - KP
                - IQ
                - CD
                - SD
                - IR
                - LR
                - ZW
                - CU
                - CI
        action: block

Regels inzake maximumtarieven

Soms is het wenselijk om verkeer te blokkeren als het een bepaald tarief van inkomende verzoeken, gebaseerd op een specifieke voorwaarde overschrijdt. Als u een waarde voor de eigenschap rateLimit instelt, wordt de frequentie van die aanvragen beperkt die overeenkomen met de regelvoorwaarde.

Regels voor tarieflimieten kunnen niet verwijzen naar WAF-vlaggen. Ze zijn beschikbaar voor alle klanten van Sites en Forms.

Snelheidslimieten worden berekend per CDN POP. Als voorbeeld, veronderstel dat POPs in Montreal, Miami, en Dublin verkeerstarieven van 80, 90, respectievelijk 120 verzoeken per seconde ervaren. En de tarieflimietregel is ingesteld op een limiet van 100. In dat geval is alleen het verkeer naar Dublin beperkt.

De grenzen van het tarief worden geëvalueerd gebaseerd op of verkeer dat de rand raakt, verkeer dat de oorsprong raakt, of het aantal fouten.

rateLimit-structuur ratelimit-structure

Bezit

Type

Gebrek

BETEKENEN

limiet

geheel getal van 10 tot en met 10000

vereist

Het tarief van het verzoek (per CDN POP) in verzoeken per seconde waarvoor de regel wordt teweeggebracht.

venster

geheel getal: 1, 10 of 60

Samplingvenster in seconden waarvoor de aanvraagsnelheid wordt berekend. De nauwkeurigheid van tellers hangt van de grootte van het venster (grotere vensternauwkeurigheid) af. U kunt bijvoorbeeld 50% nauwkeurigheid verwachten voor het venster van 1 seconde en 90% nauwkeurigheid voor het venster van 60 seconden.

straf

geheel getal van 60 tot 3600

300

Een periode in seconden waarvoor overeenkomstige verzoeken worden geblokkeerd (afgerond naar de dichtstbijzijnde minuut).

aantal

all, fetches, fouten

alles

evalueert gebaseerd op randverkeer (allen), oorsprongverkeer (halen), of het aantal fouten (fouten).

groupBy

serie [ Getter ]

none

De teller van de snelheidsbegrenzer zal door een reeks verzoekeigenschappen (bijvoorbeeld, clientIp) worden bijeengevoegd.

Voorbeelden ratelimiting-examples

Voorbeeld 1

Deze regel blokkeert een cliënt 5 minuten wanneer het een gemiddelde van 60 req/sec (per KNP CDN) in de laatste 10 sec overschrijdt:

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
    - name: limit-requests-client-ip
      when:
        reqProperty: tier
        matches: "author|publish"
      rateLimit:
        limit: 60
        window: 10
        penalty: 300
        count: all
        groupBy:
          - reqProperty: clientIp
      action: block

Voorbeeld 2

De verzoeken van het blok op weg /kritiek/middel voor 60 seconden wanneer het een gemiddelde van 100 verzoeken aan oorsprong per seconde (per CDN POP) op een tijdvenster van tien seconden overschrijdt:

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: rate-limit-example
        when:
          allOf:
            - { reqProperty: path, equals: /critical/resource }
            - { reqProperty: tier, equals: publish }
        action:
          type: block
        rateLimit: { limit: 100, window: 10, penalty: 60, count: fetches }

Voor extra codefragmenten voor geavanceerde scenario’s, zie de Fragmenten van de Configuratie CDN voor Gemeenschappelijke Scenarios artikel.

CVE-regels cve-rules

Als WAF een licentie heeft, past Adobe automatisch blokkeringsregels toe om te beschermen tegen veel bekende CVE’s (Common Vulnerabilities and Exposure) en worden snel na de ontdekking nieuwe CVE’s toegevoegd. Klanten configureren zelf geen CVE-regels.

Als een verkeersaanvraag overeenkomt met een CVE, wordt deze weergegeven in de corresponderende CDN-logbestandvermelding.

Neem contact op met de ondersteuning van Adobe als er vragen zijn over een bepaalde CVE of als er een bepaalde CVE-regel is die uw organisatie wil uitschakelen.

Waarschuwingen voor verkeersfilterregels traffic-filter-rules-alerts

Een regel kan worden gevormd om een bericht van het Centrum van Acties te verzenden als het tien keer binnen een 5 minieme venster wordt teweeggebracht. Een dergelijke regel waarschuwt u wanneer bepaalde verkeerspatronen voorkomen zodat u om het even welke noodzakelijke maatregelen kunt nemen. Wanneer een waarschuwing voor een bepaalde regel wordt geactiveerd, wordt deze niet opnieuw geactiveerd tot de volgende dag (UTC).

Leer meer over Centrum van Acties , met inbegrip van hoe te opstelling de vereiste Profielen van het Bericht om e-mails te ontvangen.

het Bericht van het Centrum van Acties

De waakzame eigenschap kan worden toegepast op het actieknooppunt voor alle handelingstypen (toestaan, blokkeren, vastleggen).

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: "path-rule"
        when:
          allOf:
            - { reqProperty: path, equals: /block-me }
            - { reqProperty: tier, equals: publish }
        action:
          type: block
          alert: true

Standaardverkeersspiraal bij oorsprong, waarschuwing traffic-spike-at-origin-alert

Een e-mailbericht van het Centrum van Acties waarschuwt u wanneer het hoge verkeer van het zelfde IP adres de oorsprong raakt, die een aanval voorstellen DDoS.

Als aan deze drempel wordt voldaan, blokkeert Adobe verkeer van dat IP adres; Neem extra maatregelen om uw oorsprong te beschermen, zoals het vormen van de regels van de snelheidsgrensfilter. Zie het Blokkeren Dos en aanvallen DDoS gebruikend het leerprogramma van verkeersregels voor een geleide analyse.

Het systeem laat dit alarm door gebrek toe, maar u kunt het onbruikbaar maken gebruikend het defaultTrafficAlerts bezit, dat aan vals wordt geplaatst. Nadat de waarschuwing is geactiveerd, wordt deze pas de volgende dag (UTC) opnieuw geactiveerd.

kind: "CDN"
version: "1"
data:
  trafficFilters:
   defaultTrafficAlerts: false

CDN-logbestanden cdn-logs

AEM as a Cloud Service verleent toegang tot CDN logboeken, die voor gebruiksgevallen met inbegrip van de optimalisering van de geheim voorgeheugenklapverhouding, en het vormen van de regels van de verkeersfilter nuttig zijn. CDN- logboeken verschijnen in de dialoog van de Logboeken van de Download van Cloud Manager , wanneer het selecteren van de Auteur of de Publish dienst.

CDN-logbestanden worden maximaal vijf minuten vertraagd.

De eigenschap rules beschrijft welke regels voor verkeersfilters worden aangepast en heeft het volgende patroon:

"rules": "match=<matching-customer-named-rules-that-are-matched>,waf=<matching-WAF-rules>,action=<action_type>"

Bijvoorbeeld:

"rules": "match=Block-Traffic-under-private-folder,Enable-SQL-injection-everywhere,waf="SQLI,SANS",action=block"

De regels gedragen zich als volgt:

De door de klant gedeclareerde regelnaam van overeenkomende regels wordt vermeld in het kenmerk match .
Het attribuut action bepaalt of de regels blokkeren, toestaan, of logboek.
Als de WAF een licentie heeft en is ingeschakeld, geeft het kenmerk waf alle eventuele WAF-markeringen weer (bijvoorbeeld SQLI) die zijn gedetecteerd. Dit gedrag geldt ongeacht of de WAF-vlaggen in een regel zijn vermeld. Dit registreren moet insight in potentiële nieuwe regels verstrekken om te verklaren.
Als er geen door de klant gedeclareerde regels overeenkomen en er geen waf-regels overeenkomen, is de eigenschap rules leeg.

Zoals eerder vermeld, verschijnen de regelovereenkomsten van WAF slechts in CDN- logboeken voor CDN missen en overgaan, niet klappen.

In het onderstaande voorbeeld ziet u een voorbeeld cdn.yaml en twee CDN-logitems:

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
      - name: "path-rule"
        when: { reqProperty: path, equals: /block-me }
        action: block
      - name: "Enable-SQL-Injection-and-XSS-waf-rules-globally"
        when: { reqProperty: path, like: "*" }
        action:
          type: block
          wafFlags: [ SQLI, XSS ]

{
"timestamp": "2023-05-26T09:20:01+0000",
"ttfb": 19,
"cli_ip": "147.160.230.112",
"cli_country": "CH",
"rid": "974e67f6",
"req_ua": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0.3 Safari/605.1.15",
"host": "example.com",
"url": "/block-me",
"method": "GET",
"res_ctype": "",
"cache": "PASS",
"status": 406,
"res_age": 0,
"pop": "PAR",
"rules": "match=path-rule,action=blocked"
}

{
"timestamp": "2023-05-26T09:20:01+0000",
"ttfb": 19,
"cli_ip": "147.160.230.112",
"cli_country": "CH",
"req_ua": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0.3 Safari/605.1.15",
"rid": "974e67f6",
"host": "example.com",
"url": "/?sqli=%27%29%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL--%20fAPK",
"method": "GET",
"res_ctype": "image/png",
"cache": "PASS",
"status": 406,
"res_age": 0,
"pop": "PAR",
"rules": "match=Enable-SQL-Injection-and-XSS-waf-rules-globally,waf=SQLI,action=blocked"
}

Logbestandsindeling cdn-log-format

Hieronder vindt u een lijst met veldnamen die in CDN-logbestanden worden gebruikt, samen met een korte beschrijving.

Naam van het Gebied

Beschrijving

timestamp

De tijd waarop de aanvraag is gestart, na beëindiging van TLS.

ttfb

Afkorting voor Tijd aan Eerste Byte. Het tijdinterval tussen het verzoek begon tot het punt alvorens het reactiekarakter begon te worden gestroomd.

cli_ip

Het client-IP-adres.

cli_country

Twee-brief ISO 3166-1 alpha-2 landcode voor het cliëntland.

rid

De waarde van de verzoekkopbal die wordt gebruikt om het verzoek uniek te identificeren.

req_ua

De gebruikersagent die verantwoordelijk is voor het indienen van een bepaalde HTTP-aanvraag.

gastheer

De autoriteit waarvoor het verzoek is bestemd.

url

Het volledige pad, inclusief queryparameters.

methode

HTTP-methode die door de client wordt verzonden, zoals “GET” of “POST”.

res_ctype

Het Content-Type dat wordt gebruikt om het oorspronkelijke mediatype van de bron aan te geven.

geheime voorgeheugen

Status van de cache. Mogelijke waarden zijn HIT, MISS of PASS

status

De HTTP-statuscode als een geheel getal.

res_age

De hoeveelheid tijd (in seconden) dat een reactie in de cache is geplaatst (in alle knooppunten).

pop

Datacenter van de CDN-cacheserver.

regels

De naam van eventuele overeenkomende regels.

wijst ook op als de gelijke in een blok resulteerde.

Bijvoorbeeld, “match=Enable-SQL-Injection-and-XSS-waf-rules-globally,waf=SQLI,action=blocked”

Leeg als geen regels aankwamen.

Gereedschap Dashboard dashboard-tooling

Adobe biedt een mechanisme voor het downloaden van dashboardgereedschappen naar uw computer om CDN-logbestanden in te voegen die via Cloud Manager zijn gedownload. Om uw verkeer te analyseren en de hulp bepaalt de aangewezen regels van de verkeersfilter, met inbegrip van de regels van WAF te verklaren, gebruik dit tooling.

Het tooling van het dashboard kan direct van de worden gekloond AEMCS-CDN-Logboek-Analyse-Tooling bewaarplaats GitHub.

een leerprogramma van A is beschikbaar voor concrete instructies op hoe te om het dashboardhulpmiddel te gebruiken.

Aanbevolen startregels recommended-starter-rules

Adobe stelt voor eerst de regels voor het verkeersfilter hieronder te gebruiken en deze vervolgens in de loop van de tijd te verfijnen. Standaard regels zijn beschikbaar met een vergunning van Plaatsen of van Forms, terwijl de regels van WAF een Uitgebreide (vroeger genoemde Bescherming WAF-DDoS) of Uitgebreide Veiligheid voor de (vroeger genoemde Uitgebreide Veiligheid) vergunning van de Veiligheid vereisen.

Aanbevolen standaardregels recommended-nonwaf-starter-rules

Begin met deze regels:

snelheidslimiet (logbestandmodus):
- logboek wanneer het verkeer van bepaalde IP een tariefgrens overschrijdt. Overschakelen naar blokmodus nadat is gecontroleerd of er geen waarschuwingen zijn ontvangen; indien er waarschuwingen zijn ontvangen , geeft dit aan dat de grenswaarde te laag was .
specifieke landen (blokmodus):
- blokverkeer uit bepaalde landen (wijzig de landcodes die op uw bedrijfsvereisten worden gebaseerd)

kind: "CDN"
version: "1"
data:
  trafficFilters:
    rules:
    #  Block client for 5m when it exceeds an average of 100 req/sec to origin on a time window of 10sec
    - name: limit-origin-requests-client-ip
      when:
        reqProperty: tier
        equals: 'publish'
      rateLimit:
        limit: 100
        window: 10
        count: fetches
        penalty: 300
        groupBy:
          - reqProperty: clientIp
      action: log
    #  Block client for 5m when it exceeds an average of 500 req/sec on a time window of 10sec
    - name: limit-requests-client-ip
      when:
        reqProperty: tier
        equals: 'publish'
      rateLimit:
        limit: 500
        window: 10
        count: all
        penalty: 300
        groupBy:
          - reqProperty: clientIp
      action: log
      alert: true
    # Block requests coming from OFAC countries
    - name: ofac-countries
      when:
        allOf:
          - { reqProperty: tier, in: ["author", "publish"] }
          - reqProperty: clientCountry
            in:
              - SY
              - BY
              - MM
              - KP
              - IQ
              - CD
              - SD
              - IR
              - LR
              - ZW
              - CU
              - CI
      action: block

Aanbevolen WAF-regels recommended-waf-starter-rules

Voeg de volgende regels toe aan uw bestaande configuratie:

Vlag-VAN-BAD-IP (blokmodus):
- Onmiddellijk blokverkeer dat beide verdachte patronen (met inbegrip van verscheidene in de de vlaggen van WAF lijst ) aanpast en uit IP adressen voortkomt die om kwaadwillig worden gekend te zijn.
- De markering ATTACK-FROM-BAD-IP voldoet aan beide voorwaarden (patroonovereenkomst en bekende kwaadwillige IP), die het risico van valse positieven minimaliseren. U kunt deze regel dus veilig en onmiddellijk toepassen in de blokkeermodus.
Vlag koppelen (logbestandmodus):
- Logboek aanvankelijk (eerder dan blok) verkeer dat verdachte patronen aanpast maar niet uit bekende kwaadwillige IP adressen voortkomt. Deze voorzichtige benadering van het registreren eerder dan het blokkeren helpt onbedoeld het legitieme verkeer (valse positieven) blokkeren.
- Om te verifiëren dat de wettige verzoeken niet verkeerd worden gemarkeerd, analyseer CDN- logboeken na het opstellen van deze regel. Zodra u zeker bent dat geen wettig verkeer wordt beïnvloed, schakelaar aan blokwijze.

NOTE

De ervaring wijst erop dat valse positieven verbonden aan de markering van de AANVALLEN zeldzaam zijn. Daarom is een praktische strategie om al verdacht verkeer onmiddellijk te blokkeren en CDN logboekanalyse te gebruiken om regels voor wettig verkeer te identificeren en in te voeren. Elke organisatie evalueert haar eigen tolerantie voor risico, waarbij de voordelen van een betere bescherming tegen het risico van onbedoeld blokkeren van legitieme verzoeken worden afgewogen.

    # blocks likely attack traffic, which also comes from suspected IPs
    - name: attacks-from-bad-ips-globally
      when:
        reqProperty: tier
        in: ["author", "publish"]
      action:
        type: block
        wafFlags:
          - ATTACK-FROM-BAD-IP
    # log likely attack traffic, and later switch to block mode if false positives aren't observed
    - name: attacks-from-any-ips-globally
      when:
        reqProperty: tier
        in: ["author", "publish"]
      action:
        type: log
        wafFlags:
          - ATTACK

Aanbevolen WAF-regels voor oudere versies previous-waf-starter-rules

Vóór juli 2025 heeft Adobe de hieronder vermelde WAF-regels aanbevolen, die nog steeds geldig en doeltreffend zijn in de strijd tegen kwaadwillig verkeer. Raadpleeg de zelfstudie voor meer informatie over het migreren naar de nieuwe aanbevolen regels.

Breid uit om de oudere aanbevolen WAF-regels te bekijken.

code language-none

code language-none
`# Enable recommended WAF protections (only works if WAF is licensed enabled for your environment) - name: block-waf-flags-globally when: reqProperty: tier in: ["author", "publish"] action: type: log wafFlags: - TRAVERSAL - CMDEXE-NO-BIN - XSS - LOG4J-JNDI - BACKDOOR - USERAGENT - SQLI - SANS - TORNODE - NOUA - SCANNER - PRIVATEFILE - NULLBYTE`

    # Enable recommended WAF protections (only works if WAF is licensed enabled for your environment)
    - name: block-waf-flags-globally
      when:
        reqProperty: tier
        in: ["author", "publish"]
      action:
        type: log
        wafFlags:
          - TRAVERSAL
          - CMDEXE-NO-BIN
          - XSS
          - LOG4J-JNDI
          - BACKDOOR
          - USERAGENT
          - SQLI
          - SANS
          - TORNODE
          - NOUA
          - SCANNER
          - PRIVATEFILE
          - NULLBYTE

Zelfstudie tutorial

Om praktische kennis en ervaring rond de regels van de verkeersfilter, met inbegrip van de regels van WAF te bereiken, werk door een reeks leerprogramma’s .

De zelfstudies omvatten:

Een overzicht van standaard en WAF verkeersfilterregels.
Om aanvallen, met inbegrip van Ontkenning van de Dienst (Dos) te blokkeren, vorm de geadviseerde norm en de regels van de het verkeersfilter van WAF.
Het opstellen van regels die de Cloud Manager config pijpleiding gebruiken.
Testen van uw regels gebruikend hulpmiddelen om kwaadwillig verkeer te simuleren.
Resultaten analyseren met de Log Analyse Tooling.
Tips en trucs.

recommendation-more-help

experience-manager-cloud-service-help-main-toc