Configuração de uma regra de proteção contra ataques CC
Você pode personalizar uma regra de proteção contra ataques da CC para restringir o acesso a um URL específico em seu site com base em um endereço IP, cookie ou Referer, mitigando os ataques da CC. Para fazer com que suas regras personalizadas de proteção contra ataques da CC entrem em vigor, certifique-se de que você habilitou a proteção contra ataques da CC (Status para CC Attack Protection deve ser ).
Se você ativou projetos corporativos, verifique se tem todas as permissões de operação para o projeto em que sua instância do WAF está localizada. Em seguida, você pode selecionar o projeto na lista suspensa Enterprise Project e configurar políticas de proteção para os nomes de domínio no projeto.
Pré-requisitos
Um site foi adicionado ao WAF.
- Para o modo de nuvem, consulte Conexão de um site ao WAF (Modo Nuvem).
- Para o modo dedicado, veja Conexão de um site ao WAF (Modo Dedicado).
Restrições
- Apenas uma regra de proteção contra ataques CC pode ser configurada para o mesmo caminho. Caso contrário, as regras de proteção contra ataques da CC podem entrar em conflito umas com as outras e não entrar em vigor. Se você tiver configurado várias regras de proteção CC para o mesmo caminho, exclua as desnecessárias.
- Leva vários minutos para que uma nova regra entre em vigor. Depois que a regra entrar em vigor, os eventos de proteção desencadeados pela regra serão exibidos na página Events.
- Uma tabela de referência pode ser adicionada a uma regra de proteção contra ataques CC. A tabela de referência entra em vigor para todos os nomes de domínio protegidos.
- A proteção contra ataques da CC oferece diferentes ações de proteção para as regras de proteção contra ataques da CC, incluindo Verification code, Block. Por exemplo, você pode configurar uma regra de proteção contra ataque CC para bloquear solicitações de uma visita por 600 segundos, identificando o cookie (campo nome) se o visitante acessar um URL (por exemplo, /admin*) do seu site mais de 10 vezes em 60 segundos.
- O modo avançado não é suportado pela edição padrão (anteriormente edição profissional).
- O gerenciamento de tabelas de referência não é suportado pela edição padrão (anteriormente edição profissional).
- O caminho em uma regra de proteção contra ataques de CC deve ser definido como um URL (excluindo o nome de domínio). Este parâmetro permite correspondência de prefixo e correspondência exata.
- Correspondência de prefixo: Um caminho terminado com * indica que o caminho é usado como um prefixo. O * pode ser usado como um valor curinga. Por exemplo, para proteger /admin/test.php ou /adminabc, você pode definir Path para /admin*.
- Correspondência exata: O caminho a ser inserido deve ser o mesmo que o caminho a ser protegido. Por exemplo, para proteger /adminEntão o Path deve ser definido como /admin.
- Se seu site estiver conectado ao WAF e ao Content Delivery Network (CDN) e a Protective Action estiver definida como Verification code na regra de proteção contra ataques da CC, observe que:
- Path deve ser definido para uma página dinâmica.
- Se você configurar uma página estática para Path, a página estática será armazenada em cache pela CDN. Como resultado, a verificação falha. Lidar com o problema consultando Por que o código de verificação falha ao ser atualizado após ativar o código de verificação em uma regra de proteção contra ataques da CC?
- Se seu site usa proxies como anti-DDoS, Content Delivery Network (CDN) e serviços de aceleração de nuvem, selecione Per user para Rate Limit Mode e ative All WAF instances.
Procedimento
- Efetue login no console de gerenciamento.
- Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
- Clique em no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance.
- No painel de navegação, escolha Website Settings.
- Na coluna Policy da linha que contém o nome de domínio, clique em Configure Policy.
- Na área de configuração CC Attack Protection, altere Status se necessário e clique em Customize Rule para ir para a página CC Attack Protection.
Figura 1 Área de configuração CC Attack Protection
- No canto superior esquerdo da página CC Attack Protection, clique em Add Rule.
- Na caixa de diálogo exibida, configure uma regra de proteção contra ataques CC consultando Tabela 1.
Se um visitante cujo cookie é name acessar uma página em seu site onde o endereço inclui /admin no final (por exemplo, o https://www.example.com/adminlogic) mais de 10 vezes em 60 segundos, O WAF bloqueia as solicitações de visitantes com o mesmo name de cookie para 600s e retorna a página configurada para Page Content. Figura 2 mostra as configurações.
Tabela 1 Parâmetros de regra Parâmetro
Descrição
Valor de exemplo
modo
- Standard: Somente o caminho de proteção de um nome de domínio pode ser restrito.
- Advanced: Os campos caminho, endereço IP, cookie, cabeçalho e parâmetros podem ser restritos. Este parâmetro não está disponível na edição padrão (antiga edição profissional).
Standard
Caminho
Defina este parâmetro somente quando Standard estiver selecionado para Mode.
Parte da URL sem o nome de domínio.
- Correspondência de prefixo: Um caminho terminado com * indica que o caminho é usado como um prefixo. O * pode ser usado como um valor curinga. Por exemplo, para proteger /admin/test.php ou /adminabc, você pode definir Path para /admin*.
- Correspondência exata: O caminho a ser inserido deve ser o mesmo que o caminho a ser protegido. Por exemplo, para proteger /adminEntão o Path deve ser definido como /admin.
NOTA:- O caminho suporta apenas correspondências de prefixo e exato, mas não suporta expressões regulares.
- O caminho não pode conter duas ou mais barras consecutivas. Por exemplo, ///admin. Se você digitar ///admin, o WAF converterá /// para /.
- O caminho é sensível a maiúsculas e minúsculas.
- Se Path estiver definido para /, todos os caminhos do site estão protegidos.
/admin*
Lista de Condição
Defina este parâmetro somente quando Advanced estiver selecionado para Mode.
Clique em Add para adicionar condições. Pelo menos uma condição é necessária, mas até 30 condições são permitidas. Se você adicionar mais de uma condição, a regra só terá efeito se todas as condições forem atendidas.
- Field: As opções são Path, IP, Cookie, Header, e Params.
- Subfield: Configure este campo somente quando Cookie, Header, ou Params estiver selecionado para Field.
AVISO:
O comprimento de um subcampo não pode exceder 2048 bytes. Apenas números, letras, sublinhados (_) e hifens (-) são permitidos.
- Logic: Selecione um relacionamento lógico na lista suspensa.
NOTA:
Se você definir Logic para Include any value, Exclude any value, Equal to any value, Not equal to any value, Prefix is any value, Prefix is not any of them, Suffix is any value, ou Suffix is not any of them, selecione uma tabela de referência existente. Para mais detalhes, consulte Adição de uma tabela de referência.
- Content: Insira ou selecione o conteúdo que corresponde à condição.
Path Include /admin
Modo de limitação de taxa
- Per IP address: Um visitante do site é identificado pelo endereço IP.
- Per user: Um visitante do site é identificado pelo valor-chave de Cookie ou Header.
- Other: Um visitante do site é identificado pelo campo Referer (fonte de solicitação definida pelo usuário).
NOTA:
Se você definir Rate Limit Mode como Other, defina Content do Referer como um URL completo contendo o nome de domínio. O campo Content suporta apenas correspondência de prefixo e correspondência exata, mas não pode conter duas ou mais barras consecutivas, por exemplo, ///admin. Se você digitar ///admin, o WAF irá convertê-lo para /admin.
Por exemplo, se Path for /admin, e você não quiser que os visitantes acessem a página a partir do www.test.com, defina Content de Referer como http://www.test.com.
Per user
Identificador do usuário
Esse parâmetro é obrigatório quando você seleciona Per user para Rate Limit Mode.
- Cookie: Um nome de campo de cookie. Você precisa configurar um nome de variável de atributo no cookie que possa identificar exclusivamente um visitante da Web com base nos requisitos do seu site. Este campo não suporta expressões regulares. Apenas partidas completas são suportadas.
Por exemplo, se um site usar o campo de name no cookie para identificar exclusivamente um visitante do site, selecione o name.
- Header: Defina o cabeçalho HTTP definido pelo usuário que você deseja proteger. Você precisa configurar o cabeçalho HTTP que pode identificar visitantes da Web com base nos requisitos do seu site.
Nome
Limite da taxa
O número de solicitações permitidas de um visitante do site no período de limite de taxa. Se o número de solicitações exceder o limite de taxa, o WAF executará a ação configurada para a Protective Action.
All WAF instances: As solicitações para uma ou mais instâncias do WAF serão contadas juntas de acordo com o modo de limite de taxa selecionado. Por padrão, as solicitações para cada instância do WAF são contadas. Se você ativar isso, o WAF contará as solicitações para todas as suas instâncias do WAF para acionar essa regra. Para ativar o limite de taxa baseado no usuário, Per user ou Other (o Referer deve ser configurado) em vez de Per IP address deve ser selecionado para Rate Limit Mode. Isso ocorre porque a limitação de taxa baseada em endereço IP não pode limitar a taxa de acesso de um usuário específico. No entanto, na limitação de taxa baseada no usuário, as solicitações podem ser encaminhadas para uma ou mais instâncias do WAF. Portanto, All WAF instances devem estar habilitadas para acionar a regra com precisão.
10 pedidos permitidos em 60 segundos
Ação Protetora
A ação que o WAF executará se o número de solicitações exceder o Rate Limit que você configurou. As opções são as seguintes:
- Verification code: O WAF permite solicitações que acionam a regra, desde que os visitantes do seu site completem a verificação necessária.
- Block: O WAF bloqueia solicitações que acionam a regra.
- Block dynamically: O WAF bloqueia solicitações que acionam a regra com base na Allowable Frequency, que você configura após o término do primeiro período de limite de taxa.
A ação de proteção é suportada somente quando Advanced é selecionado para Mode.
- Log only: O WAF registra apenas solicitações que acionam a regra. Você pode baixar dados de evento e exibir os registros de proteção de um nome de domínio específico.
Block
Frequência permissível
Esse parâmetro pode ser definido se você selecionar Block dynamically para Protective Action.
O WAF bloqueia solicitações que acionam a regra com base no Rate Limit primeiro. Em seguida, no seguinte período de limite de taxa, o WAF bloqueia solicitações que acionam a regra com base na Allowable Frequency configurada por você.
Allowable Frequency não pode ser maior que o Rate Limit.
NOTA:Se você definir Allowable Frequency como 0, o WAF bloqueará todas as solicitações que acionarem a regra no próximo período de limite de taxa.
8 pedidos permitidos em 60 segundos
Duração do bloqueio
Período de tempo para o qual bloquear o item quando você define Protective Action como Block.
600 segundos
Bloquear página
A página exibida se o número máximo de solicitações foi atingido. Este parâmetro é configurado somente quando Protective Action é definida como Block.
- Se você selecionar Default settings, a página de bloco padrão será exibida.
- Se você selecionar Custom, uma mensagem de erro personalizada será exibida.
Custom
Tipo de página de bloco
Se você selecionar Custom para Block Page, selecione um tipo de página de bloco. As opções são:
- application/jsontext/html
- text/htmltext/xml
- text/xml
text/html
Conteúdo da Página
Se você selecionar Custom para Block Page, configure o conteúdo a ser retornado.
Os estilos de conteúdo da página correspondentes a diferentes tipos de página são os seguintes:
- text/html: <html><body>Forbidden</body></html>
- application/json: {"msg": "Forbidden"}
- text/xml: <?xml version="1.0" encoding="utf-8"?><error> <msg>Forbidden</msg></error>
Descrição da regra
Uma descrição da regra. Este parâmetro é opcional.
Nenhum
- Clique em OK. Em seguida, você pode exibir a regra de proteção contra ataques de CC adicionada na lista de regras de CC.
Figura 3 Lista de regras CC
- Para desativar uma regra, clique em Disable na coluna Operation da regra. O Rule Status padrão é Enabled.
- Para modificar uma regra, clique em Modify na linha que contém a regra.
- Para excluir uma regra, clique em Delete na linha que contém a regra.
Exemplo de Configuração - Código de Verificação
Se o nome de domínio www.example.com tiver sido conectado ao WAF, execute as etapas a seguir para verificar se a verificação WAF CAPTCHA está ativada.
- Adicione uma regra de proteção contra ataques CC com Protection Action definida como Verification code.
Figura 4 Código de verificação
- Ative a proteção contra ataques CC.
Figura 5 Área de configuração CC Attack Protection
- Limpe o cache do navegador e acesse o http://www.example.com/admin/.
Se você acessar a página por 10 vezes dentro de 60 segundos, um código de verificação será necessário quando você tentar acessar a página pela décima primeira vez. Você precisa digitar o código de verificação para continuar o acesso.
- Vá para o console do WAF. No painel de navegação à esquerda, escolha Events. Veja o evento na página Events.
Figura 6 Exibindo Eventos - Código de verificação