Configuración de una regla de protección contra ataques de CC
Puede personalizar una regla de protección contra ataques de CC para restringir el acceso a una URL específica en su sitio web basándose en una dirección IP, una cookie o un Referer, lo que mitiga los ataques de CC. Para que las reglas de protección contra ataques CC personalizadas entren en vigor, asegúrese de que ha habilitado la protección contra ataques CC (Status para CC Attack Protection debe ser ).
Si ha habilitado proyectos de empresa, asegúrese de que tiene todos los permisos de operación para el proyecto en el que se encuentra la instancia WAF. A continuación, puede seleccionar el proyecto de la lista desplegable Enterprise Project y configurar políticas de protección para los nombres de dominio del proyecto.
Prerrequisitos
Se ha agregado un sitio web a WAF.
- Para ver el modo en la nube, consulte Conexión de un sitio web a WAF (Cloud Mode).
- Para el modo dedicado, consulte Conexión de un sitio web a WAF (Modo dedicado).
Restricciones
- Solo se puede configurar una regla de protección contra ataques CC para la misma ruta. De lo contrario, las reglas de protección contra ataques de CC pueden entrar en conflicto entre sí y no surten efecto. Si ha configurado varias reglas de protección de CC para la misma ruta, elimine las innecesarias.
- Se necesitan varios minutos para que una nueva regla entre en vigor. Una vez que la regla surta efecto, los eventos de protección activados por la regla se mostrarán en la página Events.
- Se puede agregar una tabla de referencia a una regla de protección contra ataques de CC. La tabla de referencia tiene efecto para todos los nombres de dominio protegidos.
- La protección contra ataques CC ofrece diferentes acciones de protección para las reglas de protección contra ataques CC, incluyendo Verification code, Block. Por ejemplo, puede configurar una regla de protección contra ataques CC para bloquear las solicitudes de una visita durante 600 segundos identificando su cookie (campo de nombre) si el visitante accedió a una URL (por ejemplo, /admin*) de su sitio web más de 10 veces en 60 segundos.
- El modo avanzado no es compatible con Edición estándar (anteriormente edición profesional).
- La administración de tablas de referencia no es compatible con Edición estándar (anteriormente edición profesional)
- La ruta de acceso de una regla de protección contra ataques de CC debe establecerse en una URL (excluyendo el nombre de dominio). Este parámetro permite la coincidencia de prefijos y la coincidencia exacta.
- Coincidencia de prefijo: Una ruta que termina con * indica que la ruta se utiliza como prefijo. El * se puede utilizar como un valor de carácter comodín. Por ejemplo, para proteger /admin/test.php or /adminabc, puede establecer Path en /admin*.
- Coincidencia exacta: la ruta que se va a introducir debe ser la misma que la ruta que se va a proteger. Por ejemplo, para proteger /admin, entonces Path debe establcerse en /admin.
- Si su sitio web está conectado tanto a WAF como a Content Delivery Network (CDN) y la Protective Action está establecida en Verification code en la regla de protección contra ataques CC, tenga en cuenta que:
- Path debe establecerse en una página dinámica.
- Si configura una página estática para Path, CDN almacenará en caché la página estática. Como resultado, la verificación falla. Manejar el problema refiriéndose a ¿Por qué no se actualiza el código de verificación después de activar el código de verificación en una regla de protección contra ataques CC?
Procedimiento
- Inicie sesión en la consola de gestión
- Haga clic en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
- Haga clic en la esquina superior izquierda y elija Web Application Firewall en Security & Compliance.
- In the navigation pane, choose Website Settings.
- En la columna Policy de la fila que contiene el nombre de dominio, haga clic en Configure Policy.
- En el área de CC Attack Protection, cambie Status si es necesario y haga clic en Customize Rule para ir a la página CC Attack Protection.
Figura 1 Área de configuración de CC Attack Protection
- En la esquina superior izquierda de la página CC Attack Protection, haga clic en Add Rule.
- En el cuadro de diálogo que se muestra, configure una regla de protección contra ataques CC haciendo referencia a Tabla 1.
Si un visitante cuya cookie es name accede a una página de su sitio web donde la dirección incluye /admin al final (por ejemplo, https://www.example.com/adminlogic) más de 10 veces en 60 segundos, WAF bloquea las solicitudes de los visitantes del mismo name de cookie durante 600s y devuelve la página configurada para el Page Content. Figura 2 muestra las configuraciones.
Tabla 1 Parámetros de regla Parámetro
Descripción
Valor de ejemplo
Mode
- Standard: Solo se puede restringir la ruta de protección de un nombre de dominio.
- Advanced: La ruta, la dirección IP, la cookie, el encabezado y los campos de parámetros pueden restringirse. Este parámetro no está disponible en la edición estándar (anteriormente edición profesional).
Standard
Path
Establezca este parámetro sólo cuando se seleccione Standard para Mode.
Parte de la URL sin el nombre de dominio.
- Coincidencia de prefijo: Una ruta que termina con * indica que la ruta se utiliza como prefijo. El * se puede utilizar como un valor de carácter comodín. Por ejemplo, para proteger /admin/test.php or /adminabc, puede establecer Path en /admin*.
- Coincidencia exacta: la ruta que se va a introducir debe ser la misma que la ruta que se va a proteger. Por ejemplo, para proteger /admin, entonces Path debe establcerse en /admin.
NOTA:- La ruta solo admite coincidencias exactas y prefijos, pero no admite expresiones regulares.
- La ruta de acceso no puede contener dos o más barras diagonales consecutivas. Por ejemplo, ///admin. Si introduce ///admin, WAF convertirá /// en /.
- La ruta distingue entre mayúsculas y minúsculas.
- Si Path está establecido en /, todas las rutas del sitio web están protegidas.
/admin*
Condition List
Establezca este parámetro solo cuando esté seleccionado Advanced para Mode.
Haga clic en Add para agregar condiciones. Se requiere al menos una condición, pero se permiten hasta 30 condiciones. Si agrega más de una condición, la regla sólo tendrá efecto si se cumplen todas las condiciones.
- Field: Las opciones son Path, Path, IP, Cookie, Header, y Params
- Subfield: configura este campo solo cuando se selecciona Cookie, Header, or Params para Field.
AVISO:
La longitud de un subcampo no puede exceder de 2048 bytes. Solo se permiten dígitos, letras, guiones bajos (_) y guiones (-).
- Lógica: Seleccione una relación lógica de la lista desplegable.
NOTA:
Si establece Logic en Include any value, Exclude any value, Equal to any value, Not equal to any value, Prefix is any value, Prefix is not any of them, Suffix is any value, o Suffix is not any of them, seleccione una tabla de referencia existente. Para más detalles, consulte Adición de una tabla de referencia.
- Content: Ingrese o seleccione el contenido que coincida con la condición.
Path Include /admin
Rate Limit Mode
- Per IP address: Un visitante del sitio web es identificado por la dirección IP.
- Per user: Un visitante del sitio web se identifica por el valor clave de Cookie o Header.
- Other: Un visitante del sitio web se identifica mediante el campo Referer (fuente de solicitud definida por el usuario).
NOTA:
Si establece el modo de Rate Limit Mode en Other, establezca Content del Referer en una dirección URL completa que contenga el nombre de dominio. El campo Content solo admite coincidencia de prefijo y coincidencia exacta, pero no puede contener dos o más barras diagonales consecutivas, por ejemplo, ///admin. Si escribe ///admin, WAF lo convertirá a /admin.
Por ejemplo, si Path es /admin, y no desea que los visitantes accedan a la página desde www.test.com, establezca Content de Referer en http://www.test.com.
Per user
User Identifier
Este parámetro es obligatorio cuando selecciona Per user para Rate Limit Mode.
- Cookie: Un nombre de campo de cookie. Debe configurar un nombre de variable de atributo en la cookie que pueda identificar de manera única a un visitante web en función de los requisitos de su sitio web. Este campo no admite expresiones regulares. Solo se admiten las coincidencias completas.
Por ejemplo, si un sitio web utiliza el campo de name en la cookie para identificar de manera única a un visitante del sitio web, seleccione name.
- Header: Establezca el encabezado HTTP definido por el usuario que desea proteger. Debe configurar el encabezado HTTP que pueda identificar a los visitantes de la web en función de los requisitos de su sitio web.
name
Rate Limit
El número de solicitudes permitidas de un visitante del sitio web en el período límite de tarifas. Si el número de solicitudes excede el límite de velocidad, WAF realiza la acción que configura para Protective Action.
10 solicitudes permitidas en 60 segundos
Protective Action
La acción que WAF llevará a cabo si el número de solicitudes excede Rate Limit que configuró. Las opciones son las siguientes:
- Verification code: WAF permite solicitudes que desencadenan la regla siempre y cuando los visitantes de su sitio web completen la verificación requerida.
- Block: WAF bloquea las solicitudes que activan la regla.
- Block dynamically: WAF bloquea las solicitudes que activan la regla en función de Allowable Frequency, que configura después de que finalice el primer período de límite de velocidad.
La acción de protección solo se admite cuando se selecciona Advanced para Mode.
- Log only: WAF solo registra las solicitudes que activan la regla. Puede descargar datos de eventos y ver los registros de protección de un nombre de dominio específico.
Block
Allowable Frequency
Este parámetro se puede establecer si selecciona Block dynamically para Protective Action.
WAF bloquea las solicitudes que activan la regla basándose en Rate Limit primero. A continuación, en el siguiente período de límite de velocidad, WAF bloquea las solicitudes que activan la regla en función de Allowable Frequency que configure.
Allowable Frequency no puede ser mayor que Rate Limit.
NOTA:Si establece Allowable Frequency en 0, WAF bloquea todas las solicitudes que desencadenan la regla en el siguiente período límite de tasa.
8 solicitudes permitidas en 60 segundos
Block Duration
Período de tiempo para el que se debe bloquear el elemento cuando se establece Protective Action en Block.
600 segundos
Block Page
La página que se muestra si se ha alcanzado el número máximo de solicitudes. Este parámetro se configura solo cuando Protective Action se establece en Block.
- Si selecciona Default settings, se mostrará la página de bloqueo predeterminada.
- Si selecciona Custom, se mostrará un mensaje de error personalizado.
Custom
Block Page Type
Si selecciona Custom para Block Page, seleccione un tipo de página de bloque. Las opciones son:
- application/jsontext/html
- text/htmltext/xml
- text/xml
text/html
Page Content
Si selecciona Custom para Block Page, configure el contenido que se va a devolver.
Los estilos de contenido de página correspondientes a diferentes tipos de página son los siguientes:
- text/html: <html><body>Forbidden</body></html>
- application/json: {"msg": "Forbidden"}
- text/xml: <?xml version="1.0" encoding="utf-8"?><error> <msg>Forbidden</msg></error>
Rule Description
Una descripción de la regla. Este parámetro es opcional.
None
- Haga clic en OK. A continuación, puede ver la regla de protección contra ataques de CC agregada en la lista de reglas de CC.
Figura 3 Lista de reglas de CC
- Para deshabilitar una regla, haga clic en Disable en la columna Operation de la regla. El Rule Status predeterminado es Enabled.
- Para modificar una regla, haga clic en Modify en la fila que contiene la regla.
- Para eliminar una regla, haga clic en Delete en la fila que contiene la regla.
Ejemplo de configuración - Código de verificación
Si el nombre de dominio www.example.com se ha conectado a WAF, realice los siguientes pasos para verificar que la verificación WAF CAPTCHA esté activada.
- Agregue una regla de protección contra ataques CC con Protection Action establecida en Verification code.
Figura 4 Código de verificación
- Habilite la protección contra ataques CC.
Figura 5 Área de configuración de CC Attack Protection
- Borrar la caché del navegador y acceder a http://www.example.com/admin/.
Si accede a la página 10 veces en un plazo de 60 segundos, se requiere un código de verificación cuando intenta acceder a la página por undécima vez. Es necesario introducir el código de verificación para continuar con el acceso.
- Vaya a la consola WAF. En el panel de navegación de la izquierda, seleccione Events. Vea el evento en la página Events.
Figura 6 Consulta de eventos - Código de verificación