Nemesida WAF позволяет в автоматическом режиме бороться с атаками методом перебора, флуда и DDoS.

Настройка

Облачное веб-приложение MyWAF позволяет настраивать параметры Nemesida WAF для защиты веб-приложения, используя веб-интерфейс. Для активации функционала необходимо выполнить следующие действия:

1. Произведите минимальные настройки на серверах с установленными модулями Nemesida WAF;

2. Задайте условие автоматической блокировки IP-адреса источника запросов:

3. Активируйте функционал, добавив необходимые параметры:

  • Временной интервал отрезка (окна), в течение которого производится анализ запросов;
  • URL-адреса, для которых будет активирован механизм выявления атак методом перебора;
  • URL-адреса, для которых будет активирован механизм выявления флуда;
  • Количество запросов в рамках окна, при достижении значения которого запускается механизм анализа.

При заполнении полей, требующих ввода IP/URL-адреса или виртуального хоста, каждая новая запись добавляется отдельно.

Из-за специфики атак, на их выявление и блокировку источника запросов требуется некоторое время, и если Nemesida AI MLC не показывает требуемого результата, а атака уже происходит, администратор может самостоятельно выявить признаки атаки, при помощи информации из личного кабинета Nemesida WAF, и на их основе заблокировать атаки, используя облачное веб-приложение MyWAF.

При создании правила блокировки (на период проведения атаки) рекомендуем обращать внимание на следующие признаки:

  • запросы, поступающие из популярных, для подобных атак, стран (например: Таиланд, Индия, Китай, Индонезия, Вьетнам и т.д.), но из которых не ожидаются запросы легитимных пользователей;
  • признаки нелегитимных запросов: подозрительный User-Agent, наличие/отсутствие определенного значения Cookie и т.д.

Примеры правил

Блокировка по странам

Составленное правило будет блокировать запросы, которые поступают из стран, обращения из которых не ожидаются к сайту example.com:

Блокировка по User-Agent

Составленное правило будет блокировать запросы, поступающие с подозрительным значением заголовка User-Agent:

Блокировка по X-Forwarder-For

Заголовок X-Forwarder-For добавляется к запросам, если при обращении к веб-приложению используется прокси-сервер. Составленное правило будет блокировать запросы, поступающие на URL /login.php сайта example.com, если в заголовках присутствует X-Forwarder-For: