Brandvägg för webbaserade program (WAF)

Tjänsten WAF (web application firewall) för Adobe Commerce i molninfrastruktur tillhandahålls av Fastly och identifierar, loggar och blockerar trafik för skadliga förfrågningar innan den kan skada dina webbplatser eller ditt nätverk. Tjänsten WAF är endast tillgänglig i produktionsmiljöer.

Tjänsten WAF ger följande fördelar:

  • PCI-kompatibilitet—WAF-aktivering säkerställer att Adobe Commerce storefront i produktionsmiljöer uppfyller PCI DSS 6.6-säkerhetskraven.

  • Standardprincip för WAF- Standardprincipen för WAF, som konfigurerats och underhålls av Fastly, innehåller en samling säkerhetsregler som är skräddarsydda för att skydda dina Adobe Commerce webbapplikationer från en mängd olika attacker, inklusive injektionsangrepp, skadliga indata, serveröverskridande skriptning, dataexfiltrering, HTTP-protokollöverträdelser och andra OWASP Top Ten säkerhetshot.

  • WAF-introduktion och -aktivering—Adobe distribuerar och aktiverar standardprincipen för WAF i produktionsmiljön inom 2 till 3 veckor efter det att etableringen är klar.

  • Drifts- och underhållsstöd

    • Adobe och Konfigurera och hantera snabbt loggar och aviseringar för tjänsten WAF.
    • Adobe gör kundsupportärenden relaterade till WAF-servicefrågor som blockerar legitim trafik som Priority 1-frågor.
    • Automatiserade uppgraderingar till WAF-versionen säkerställer omedelbar täckning för nya eller kommande utnyttjanden. Se Underhåll och uppgraderingar av WAF.
TIP
Mer information om hur du underhåller PCI-kompatibiliteten för din Adobe Commerce i molninfrastrukturbutiker finns i PCI-kompatibilitet.

Aktivera WAF

Adobe aktiverar WAF-tjänsten på nya konton inom 2 till 3 veckor efter det att etableringen är klar. WAF implementeras via tjänsten Fast CDN. Du behöver inte installera eller underhålla någon maskin- eller programvara.

NOTE
Innan du kan använda WAF-tjänsten måste all extern trafik till ditt Adobe Commerce i molninfrastrukturprojekt gå via tjänsten Snabbt. Se Konfigurera snabbt.

Så här fungerar det

WAF-tjänsten integreras med Fast och använder cachelogiken i tjänsten Fast CDN för att filtrera trafiken på de snabbt globala noderna. Vi aktiverar tjänsten WAF i produktionsmiljön med en standardprincip för WAF baserad på ModSecurity Rules från Trustwave SpiderLabs och OWASP De 10 viktigaste säkerhetshot.

WAF-tjänsten filtrerar HTTP- och HTTPS-trafik (GET- och POST-förfrågningar) mot WAF-regeluppsättningen och blockerar trafik som är skadlig eller som inte följer specifika regler. Tjänsten filtrerar endast ursprunglig trafik som försöker uppdatera cachen. Därför stoppar vi de flesta attackerna på snabbcachen och skyddar era urkunder från skadliga attacker. Genom att endast bearbeta ursprungstrafik bevarar WAF-tjänsten cacheprestanda, vilket innebär att endast uppskattningsvis 1,5 millisekunder till 20 millisekunder fördröjning för varje begäran som inte cache-lagras.

Felsöka blockerade begäranden

När WAF-tjänsten är aktiverad filtreras all webb- och administratörstrafik mot WAF-reglerna och blockerar alla webbförfrågningar som utlöser en regel. När en begäran blockeras ser den begärande en standardinställning 403 Forbidden felsida som innehåller ett referens-ID för blockeringshändelsen.

WAF-felsida

Du kan anpassa den här felsvarssidan från Admin. Se Anpassa svarssidan för WAF.

Om Adobe Commerce administratörssida eller butik returnerar en 403 Forbidden felsida som svar på en giltig URL-begäran, skicka en Adobe Commerce Support. Kopiera referens-ID:t från felsvarssidan och klistra in det i biljettbeskrivningen.

Underhåll och uppdateringar av WAF

Underhåller och uppdaterar snabbt WAF-reglerna baserat på regeluppdateringar från kommersiella tredje parter, snabbforskning och öppna källor. Uppdaterar snabbt de publicerade reglerna till en policy efter behov eller när ändringar av reglerna är tillgängliga från deras respektive källor. Fast kan också lägga till regler som matchar de publicerade klasserna av regler i WAF-instansen för alla tjänster när WAF-tjänsten har aktiverats. Uppdateringarna säkerställer omedelbar täckning för nya eller föränderliga explosioner.

Hantera uppdateringsprocessen i Adobe och Snabbt för att säkerställa att nya eller ändrade WAF-regler fungerar effektivt i produktionsmiljön innan uppdateringarna distribueras i blockeringsläge.

Begränsningar

Standardtjänsten för WAF som drivs av Fastly stöder inte följande funktioner:

Även om du inte kan blockera eller tillåta trafik baserat på IP-adresser i tjänsten WAF kan du lägga till åtkomstkontrollistor (ACL) och anpassade VCL-fragment till tjänsten Snabbt för att ange IP-adresser och VCL-logik för att blockera eller tillåta trafik. Se Anpassade VCL-fragment snabbt.

Filtrering för TCP-, UDP- eller ICMP-begäranden stöds inte av WAF-tjänsten. Den här funktionen tillhandahålls dock av det inbyggda DDoS-skyddet som ingår i tjänsten Fast CDN. Se DDoS-skydd.

recommendation-more-help
05f2f56e-ac5d-4931-8cdb-764e60e16f26