在Fastly層級封鎖Adobe Commerce的惡意流量
本文提供當您懷疑雲端基礎結構存放區上的Adobe Commerce遭到DDoS攻擊時,封鎖惡意流量可採取的步驟。
受影響的產品和版本:
- 雲端基礎結構上的Adobe Commerce 2.3.x
在本文中,我們假設您已擁有惡意IP及/或其國家/地區和使用者代理。 雲端基礎結構上的Adobe Commerce使用者通常可以從Adobe Commerce支援取得此資訊。 以下小節提供根據此資訊封鎖流量的步驟。 所有變更都應在生產環境中完成。
存取管理面板
如果您的網站被DDoS超載,您可能無法登入您的Commerce管理員(並執行本文中進一步說明的所有步驟)。
若要存取Admin,請依照啟用或停用維護模式並將您的IP位址列入白名單中的說明,將您的網站置於維護模式。 完成後停用維護模式。
依IP封鎖流量
對於雲端基礎結構存放區上的Adobe Commerce而言,按特定IP位址和子網路封鎖流量的最有效方式是在Commerce管理員中新增Fastly的ACL。 以下是包含更多詳細指示連結的步驟:
- 在Commerce管理員中,瀏覽至 商店 > 設定 > 進階 > 系統 > 全頁快取 > Fastly設定。
- 使用您要封鎖的IP位址或子網路清單,建立新的ACL。
- 將其新增到ACL清單並封鎖,如Adobe Commerce的Fastly_Cdn模組的封鎖指南中所述。
依國家/地區封鎖流量
對於雲端基礎結構存放區上的Adobe Commerce而言,按國家/地區封鎖流量的最有效方式是在Commerce管理員中新增Fastly的ACL。
- 在Commerce管理員中,瀏覽至 商店 > 設定 > 進階 > 系統 > 全頁快取 > Fastly設定。
- 選取國家/地區並使用ACL設定封鎖,如用於Adobe Commerce的Fastly_Cdn模組的封鎖指南中所述。
依使用者代理程式封鎖流量
若要根據使用者代理建立封鎖,您需要將自訂VCL程式碼片段新增到Fastly設定。 若要這麼做,請執行下列步驟:
- 在Commerce管理員中,瀏覽至 商店 > 設定 > 進階 > 系統 > 全頁快取。
- 然後 Fastly組態 > 自訂VCL程式碼片段。
- 依照Fastly_Cdn模組的自訂VCL程式碼片段指南中的說明,建立新的自訂程式碼片段。 您可以使用以下程式碼範例作為範例。 此範例不允許
AhrefsBot和SemrushBot使用者代理程式的流量。
name: block_bad_useragents
type: recv
priority: 5
VCL:
if ( req.http.User-Agent ~ "(AhrefsBot|SemrushBot)" ) {
error 405 "Not allowed";
}
速率限制(實驗性Fastly功能)
雲端基礎結構上的Adobe Commerce實驗性Fastly功能可讓您指定特定路徑和編目程式的速率限制。 如需詳細資訊,請參考Fastly模組檔案。
功能必須先在測試環境中經過全面測試,才能用於生產環境,因為這樣可能會封鎖合法的流量。
建議:請考慮更新robots.txt
更新您的robots.txt檔案有助於防止某些搜尋引擎、編目程式和機器人編目特定頁面。 例如,搜尋結果頁面、結帳、客戶資訊等頁面不應進行編目。 避免機器人編目這些頁面,有助於減少這些機器人產生的請求數量。
使用robots.txt時,有兩個重要的考量事項:
- 機器人可以忽略您的
robots.txt。 尤其是惡意程式碼自動機制,它會掃描網頁以找出安全漏洞,而垃圾郵件傳送者使用的電子郵件地址收集器則不會受到任何注意。 robots.txt檔案是公開可用的檔案。 任何人都可以看到您不希望機器人使用的伺服器區段。
基礎資訊和預設Adobe Commerce robots.txt設定可在開發人員檔案的搜尋引擎機器人文章中找到。
如需robots.txt的一般資訊和建議,請參閱:
- 由Google支援建立robots.txt檔案
- 關於/robots.txt by robotstxt.org
請與您的開發人員和/或SEO專家合作,決定您要允許哪些使用者代理,或您想禁止哪些使用者代理。