Web Application Firewall (WAF) jest to rodzaj zabezpieczenia sieciowego, które broni aplikacje internetowe przed różnymi atakami. Działa jako filtr, śledząc ruch sieciowy do aplikacji/stron internetowych i blokując lub ograniczając dostęp do strony jeżeli reguły zabezpieczeń zostaną naruszone.
Głównym celem WAF jest ochrona Twojej strony przed atakami takimi jak SQL injection, cross-site scripting (XSS) i innymi, które mogą zagrażać bezpieczeństwu danych lub zasobów aplikacji. WAF dostępny jest na usługach zarządzanych z panelem Direct Admin, konfiguruje się go oddzielnie dla każdej z domen dodanych do panelu.
- Aby wejść w ustawienia WAF, zaloguj się do Panelu Administracyjnego Twojej usługi: https://cyberfolks.pl/pomoc/logowanie-sie-do-panelu-administracyjnego/
- Wybierz dowolną domenę z listy (jeżeli do Panelu dodana jest więcej niż jedna).
- Przejdź do sekcji “Bezpieczeństwo” -> “Web Application Firewall (WAF)”:
- Znajdziesz tu możliwość włączenia i wyłączenia WAF dla wybranych domen, wystarczy zaznaczyć je na liście i kliknąć “Aktywuj zaznaczone” lub “Dezaktywuj zaznaczone”:
- Aby wejść w ustawienia filtrów WAF danej domeny i móc dodać adresy IP do białej lub czarnej listy, kliknij obok wybranej domeny “Ustawienia”:
Po prawej stronie od widocznej opcji „Ustawienia” znajdują się „Statystyki” gdzie możesz sprawdzić czy dany adres IP jest blokowany przez WAF, jakie ataki zostały zablokowane wraz ze szczegółami oraz wiele innych. Jeżeli chcesz zweryfikować takie kwestie, kliknij w tę opcję a następnie przejdź od razu do kroku nr. 9 - W sekcji “Ustawienia” znajdziesz reguły WAF, których działanie możesz modyfikować:
Obok każdej reguły znajdziesz 3 opcje, z których 2 możesz włączać lub wyłączać dla każdej z reguł (Opcje “Blokuj” i “Banuj” możesz włączyć jednocześnie, włączona opcja „Banuj” blokuje złośliwe żądania nawet jeżeli opcja „Blokuj” nie jest włączona):
– “Raportuj” – Jeżeli dla domeny aktywowano WAF, ta opcja będzie zawsze aktywna. Dzięki niej wszelkie zachowania łamiące reguły będą raportowane w sekcji “Statystyki”, którą opisaliśmy dla Ciebie w dalszej części poradnika, w kroku 10.
– “Blokuj” – żądania przychodzące do serwera, które naruszą tę regułę, będą przez WAF blokowane.
– “Banuj” – żądania przychodzące do serwera, które naruszą tę regułę, będą przez WAF blokowane, dodatkowo adres IP, z którego te żądania dotrą do serwera, zostanie zablokowany na 72 godziny, po czym odblokowany. Jeżeli po odblokowaniu adresu IP żądania naruszające regułę będą nadal docierały, adres IP zostanie zablokowany ponownie. Taka blokada (ban) oznacza, że z sieci o tym adresie IP nie będzie można połączyć się z tą jedną konkretną stroną (z pozostałymi znajdującymi się na tej usłudze połączenie nie będzie blokowane), a odwiedzający zobaczy poniższy komunikat: - Reguł WAF jest 11, ich opisy znajdziesz w sekcji “Ustawienia”, oraz w poniższej tabelce:
- Przewijając sekcję “Ustawienia” w dół, znajdziesz możliwość dodania adresu IP do czarnej listy (wówczas z tego adresu permanentnie nie będzie możliwości połączenia z tą stroną internetową), oraz do białej listy na przykład gdy Twój adres IP zostanie zablokowany z przyczyn, które znasz i świadomie akceptujesz, dodanie go do białej listy spowoduje że zostanie odblokowany, oraz nie zostanie zablokowany nawet jeżeli naruszy którąkolwiek z reguł WAF:
- Jeżeli chcesz:
– Sprawdzić czy Twój adres IP trafił na tymczasową czarną listę lokalną lub globalną
– Sprawdzić jakie złośliwe żądania zostały zablokowane przez WAF wraz ze szczegółami
– Przejrzeć statystyki ataków w rozłożeniu na poszczególne Państwa i okresy czasu
– Odblokować adres IP z tymczasowej listy lokalnej ale nie dodawać go do białej listy
Przejdź do sekcji „Statystyki” o której była również mowa w kroku nr. 5: - Po przejściu do sekcji „Statystyki” możesz spotkać taki ekran jeżeli WAF nie zablokował żadnych złośliwych żądań przesłanych do Twojej strony:
Lub na przykład taki jeżeli w ostatnim okresie czasu WAF zablokował jakieś złośliwe żądania przesłane do Twojej strony:
Najeżdżając na dany kraj myszką zobaczysz dokładną ilość ataków z danego kraju w wybranym okresie czasu. - Wybierając po lewej stronie „Przegląd szczegółowy” możesz przejrzeć listę ataków zablokowanych przez WAF w wybranym okresie czasu wraz ze szczegółami (takimi jak data i godzina wykrycia zdarzenia, adres IP atakującego, jego przybliżona geolokalizacja, odcisk palca przeglądarki atakującego oraz adres URL pod którym próbowano wykonać złośliwe zapytania):
Klikając w „Dalsze wyjaśnienia” otrzymasz objaśnienie ataku który został zablokowany. Dzięki temu będziesz mógł lepiej zrozumieć atak i podjąć kroki w celu lepszego zabezpieczenia Twojej strony. - Jeżeli chcesz zweryfikować czy jakiś adres IP znajduje się na tymczasowej liście lokalnej lub globalnej, przejdź do dostępnej po lewej stronie sekcji „Sprawdź adres IP”, tutaj możesz również odblokować adres IP jeżeli trafił on na tymczasową listę lokalną bez konieczności dodawania go do białej listy (patrz krok. 8):
Jeżeli masz jakieś pytania dotyczące WAF lub innych kwestii, śmiało napisz do nas na wsparcie@cyberfolks.pl i postaramy się odpowiedzieć na wszelkie pytania.