F2B

F2B – настройка параметров блокировки адресов по количеству вредоносных запросов. При превышении ограничений защита ограничивает трафик клиента, защищая веб-приложение. Реакция защиты зависит от выбранного режима работы, например, клиенту может быть предложено пройти проверку через сервис капчи либо у него замедлится скорость перехода на страницу, либо защита заблокирует доступ к веб-приложению, выдав сообщение об ошибке.

Источник заблокированного защитой F2B запроса автоматически попадает в Черный список F2B на время блокировки. Для срочной разблокировки можно вручную удалить данные из черного списка.

Настройка защиты сервера F2B обеспечивает защиту от кибератак: защиту с применением правил ModSecurity, защиту от DDoS-атак уровня приложений (Анти-DDoS). Данная настройка также включает функционал Черный список F2B, Белый список F2B, Строгий список F2B, как показано на рисунке ниже.

В ходе настройки ограничений F2B рекомендуем сначала для сервера (защищаемого веб-ресурса) задать режим работы «Обучение». Протестировать работу веб-приложения под нагрузкой, убедиться по таблице атак или по отчету в корректности настроек (разделы События. Таблица атак, Отчеты). После завершения настройки рекомендуем задать режим работы «Блокировка».

Предварительно Администратор задает в конфигурационном файле Веб-сервера код ошибки, выдаваемой при блокировке запроса, и настройки куки для защит F2B и Анти-DDoS (подробнее Подключение веб-приложения).

Примечание

По тексту ниже указан код 418 в качестве кода ошибки, выдаваемой при блокировке запроса, согласно рекомендуемой настройке.

Защита F2B настраивается во вкладке «Настройки». Расшифровка сокращений RC, RCS и др. приведена ниже, в описании полей.

../_images/user_guide_635cl.png

lk_cl_plus - задание ограничения F2B (подробнее Настройка параметров защиты F2B).

lk_cl_redact - редактирование ограничения F2B.

lk_red_delete - удаление ограничения F2B.

lk_cl_key_exp - экспорт ограничения F2B в формате json.

lk_ip_exp - экспорт заданных ограничений в формате json.

lk_ip_imp - импорт заданных ограничений в формате json.

Ключ (Ключ конфигурации запроса) – объект применения ограничений, т.е. к каким группам запросов применяется ограничение. Список значений.

Предусмотрена возможность задать не более 4 вариантов настроек (ограничений F2B): по одному набору ограничений на каждый ключ конфигурации запроса ($remote_addr и др.).

Ключи конфигурации запроса задаются в разделе «Кластеры» (подробнее Дополнение ключей конфигурации запроса).

lk_simbol Пример 1. Если заданы ограничения $request_method, $binary_remote_addr, $remote_addr, тогда всего можно задать:

одно ограничение F2B с ключом $request_method,

одно ограничение F2B с ключом $binary_remote_addr,

одно ограничение F2B с ключом $remote_addr.

Настройка параметров защиты F2B

По пиктограмме lk_cl_plus открывается окно «Добавление параметров ключа» для задания параметров защиты в одном из двух режимов, простом и расширенном.

../_images/user_guide_563cl.png

Показано два варианта настроек:

Простой режим - задается только режим работы.

Расширенный режим - задаются все параметры, включая режимы работы Тихий, Внимательный, Параноидальный, которые переключаются кнопками внизу окна.

Параметры по умолчанию задаются в зависимости от выбранного режима работы.

../_images/user_guide_564cl.png

Строгий режим – это специальный режим работы защиты, в котором:

  • при первом запросе,

  • каждые n секунд,

  • когда у клиента недостаточно баллов на очередной запрос,

открывается сервис капчи; только после успешного прохождения проверки через сервис капчи выполняется запрос. Количество баллов клиента восстанавливается после успешного прохождения проверки через сервис капчи. Период n секунд задается в настройках Анти-DDoS в поле Время действия Анти-DDoS куки в секундах.

В строгий режим защита переходит при выборе параноидального режима и при предусмотренных защитой нарушениях внимательного режима.

Режим работы – режим защиты с применением правил ModSecurity:

  • Тихий – режим, в котором, если у клиента за сеанс использования куки недостаточно баллов на очередной запрос, то защита считает это нарушением. Параметр Кол-во блокировок ModSecurity регулирует, сколько раз клиент может допустить нарушение. При превышении нарушений по умолчанию выдается ошибка с кодом 418. Клиенту блокируется доступ к веб-приложению на период, заданный параметром Время в секундах.

  • Внимательный – режим, в котором при первом запросе или, если у клиента недостаточно баллов на очередной запрос, открывается сервис капчи и только после успешного прохождения проверки через сервис капчи выполняется запрос. После успешного прохождения проверки через сервис капчи количество баллов клиента восстанавливается. Защита считает недостаток баллов нарушением.

    Параметр Кол-во блокировок ModSecurity для перевода клиента в строгий режим задает, через сколько нарушений клиент будет переведен в строгий режим.

    Также защита ограничивает число нарушений параметром Кол-во блокировок ModSecurity. Т.е. когда у клиента n раз было недостаточно баллов, то защита каждый раз просила клиента пройти проверку через сервис капчи, а на (n+1)-й раз – выдаст ошибку с кодом 418 и периодом блокировки доступа к веб-приложению, заданным параметром Время в секундах.

  • Параноидальный – режим, в котором при первом запросе, каждые n секунд, а также, когда у клиента недостаточно баллов на очередной запрос, открывается сервис капчи, только после успешного решения капчи выполняется запрос. Количество баллов клиента восстанавливается после успешного решения капчи. Период n секунд задается в конфигурации «Weblock.».

Кол-во блокировок ModSecurity (RC) – сколько раз клиент может нарушить правила ModSecurity до блокировки. Целое число.

RC ≥ 0

Кол-во блокировок ModSecurity для перевода клиента в строгий режим (RCS) – сколько раз клиент может нарушить правила ModSecurity до перевода в строгий режим. Целое число. Если RCS = Кол-во блокировок ModSecurity, то строгий режим игнорируется.

0 ≤ RCS < Кол-во блокировок ModSecurity

Время в секундах (Время) – период блокировки или на сколько секунд блокируется доступ к веб-приложению. Целое число. Действует до перезапуска Веб-сервера и сервисов Системы.

Время ≥ 0

Кол-во нарушений лимитов Анти-DDoS для перевода клиента в строгий режим (AD SECS) – сколько раз клиент может нарушить ограничения защиты Анти-DDoS до перевода в строгий режим. Целое число. Если AD SECS = Кол-во нарушений лимитов Анти-DDoS для блокировки клиента, то строгий режим игнорируется.

0 ≤ AD SECS < Кол-во нарушений лимитов Анти-DDoS для блокировки клиента

Кол-во нарушений лимитов Анти-DDoS для блокировки клиента (AD SECB) – сколько раз в качестве реакции защиты Анти-DDoS клиенту будет предложено пройти проверку через сервис капчи вместо блокировки. Целое число. Задается для защиты от DDoS-атак в режиме работы «ATTENTIVE».

AD SECB ≥ 0

Кол-во игнорирований Set-Cookie для перевода клиента в строгий режим (AD NCS) – сколько раз клиент может отключить куки до перевода в строгий режим. Целое число. Если AD NCS = Кол-во игнорирований Set-Cookie для блокировки клиента, то строгий режим игнорируется.

0 ≤ AD NCS < Кол-во игнорирований Set-Cookie для блокировки клиента

Кол-во игнорирований Set-Cookie для блокировки клиента (AD NCB) – сколько раз клиент может отключить куки, избежав блокировки. Целое число.

AD NCB ≥ 0

lk_simbol Пример 2. Параметры ограничений F2B по умолчанию для различных режимов работы защиты приведены в таблице.

Параметр

Тихий режим

Внимательный режим

Параноидальный режим

Кол-во блокировок ModSecurity

20

6

6

Кол-во блокировок ModSecurity для перевода клиента в строгий режим

10

3

6

Время в секундах

300

420

420

Кол-во нарушений лимитов Анти-DDoS для перевода клиента в строгий режим

30

30

20

Кол-во нарушений лимитов Анти-DDoS для блокировки клиента

30

30

20

Кол-во игнорирований Set-Cookie для перевода клиента в строгий режим

75

75

200

Кол-во игнорирований Set-Cookie для блокировки клиента

75

100

200
../_images/Weblock_Logos_small.png