F2B

F2B – настройка параметров блокировки адресов по количеству вредоносных запросов. При превышении ограничений защита ограничивает трафик клиента, защищая веб-приложение. Реакция защиты зависит от выбранного режима работы, например, клиенту может быть предложено пройти проверку через сервис капчи либо у него замедлится скорость перехода на страницу, либо защита заблокирует доступ к веб-приложению, выдав сообщение об ошибке.

Настройка защиты сервера F2B обеспечивает защиту от кибератак: защиту с применением правил ModSecurity, защиту от DDoS-атак уровня приложений. Данная настройка также включает функционал черных, белых и строгих списков, как показано на рисунке ниже.

В ходе настройки ограничений F2B рекомендуем сначала для сервера (защищаемого веб-ресурса) задать режим работы «Обучение». Протестировать работу веб-приложения под нагрузкой, убедиться по таблице атак или по отчету в корректности настроек (разделы «События» - «Таблица атак», «Отчеты»). После завершения настройки рекомендуем задать режим работы «Блокировка».

Защита F2B настраивается во вкладке «Настройки». Расшифровка сокращений RC, RCS и др. приведена ниже, в описании полей.

../_images/user_guide_425cl.png

Предусмотрена возможность задать несколько вариантов настроек (ограничений F2B): по одному набору ограничений на каждый ключ запроса: $server_name, $remote_addr, $binary_remote_addr.

Пример. Можно задать:

одно ограничение F2B с ключом $remote_addr

и

одно ограничение F2B с ключом $server_name,

и так по одному ограничению F2B на каждый ключ запроса.

Конец примера.

Отредактировать ограничение можно, кликнув по пиктограмме lk_cl_redact (рисунок выше). С помощью пиктограммы lk_red_delete ограничение удаляется.

По пиктограмме lk_cl_plus открывается окно «Добавление параметров ключа» для задания параметров защиты в одном из двух режимов, простом и расширенном.

../_images/user_guide_426cl.png

Показано два варианта настроек: Простой режим и Расширенный режим с одноименными кнопками переключения между режимами.

В Простом режиме можно изменить только режим работы, а в Расширенном режиме – остальные настройки F2B, включая режим работы, который переключается кнопками внизу окна. Для нового ограничения задаются параметры по умолчанию в зависимости от выбранного режима работы.

../_images/user_guide_429cl.png

Строгий режим – это специальный режим работы защиты, в котором:

  • при первом запросе,

  • каждые n секунд,

  • когда у клиента недостаточно баллов на очередной запрос,

открывается сервис капчи; только после успешного прохождения проверки через сервис капчи выполняется запрос. Количество баллов клиента восстанавливается после успешного прохождения проверки через сервис капчи. Период n секунд задается в конфигурации «Weblock.».

В строгий режим защита переходит при выборе параноидального режима и при предусмотренных защитой нарушениях внимательного режима.

Далее подробнее, как заполнять поля для ограничения F2B.

Ключи запроса – объект применения ограничений F2B, т.е. к каким группам запросов применяется ограничение. Список значений:

  • $remote_addr – ограничение по IP-адресам трафика защищаемого веб-приложения, когда ограничение F2B применяется по отношению к трафику с IP-адреса.

  • $binary_remote_addr – ограничение по бинарному представлению IP-адресов трафика защищаемого веб-приложения; где ограничение F2B применяется по отношению к трафику с IP-адреса в бинарном представлении.

  • $server_name – ограничение по трафику защищаемого веб-приложения в целом; когда ограничение F2B применяется ко всему потоку запросов, независимо от источника трафика.

Режим работы – режим защиты с применением правил ModSecurity:

  • Пользовательский – режим, в котором защита отключена (значение по умолчанию, в расширенных настройках не показывается).

  • Тихий – режим, в котором, если у клиента за сеанс использования куки недостаточно баллов на очередной запрос, то защита считает это нарушением. Параметр Кол-во блокировок ModSecurity регулирует, сколько раз клиент может допустить нарушение. При превышении нарушений по умолчанию выдается ошибка с кодом 418. Клиенту блокируется доступ к веб-приложению на период, заданный параметром Время в секундах.

  • Внимательный – режим, в котором при первом запросе или, если у клиента недостаточно баллов на очередной запрос, открывается сервис капчи и только после успешного прохождения проверки через сервис капчи выполняется запрос. После успешного прохождения проверки через сервис капчи количество баллов клиента восстанавливается. Защита считает недостаток баллов нарушением.

    Параметр Кол-во блокировок ModSecurity для перевода клиента в строгий режим задает, через сколько нарушений клиент будет переведен в строгий режим.

    Также защита ограничивает число нарушений параметром Кол-во блокировок ModSecurity. Т.е. когда у клиента n раз было недостаточно баллов, то защита каждый раз просила клиента пройти проверку через сервис капчи, а на (n+1)-й раз – выдаст ошибку с кодом 418 и периодом блокировки доступа к веб-приложению, заданным параметром Время в секундах.

  • Параноидальный – режим, в котором при первом запросе, каждые n секунд, а также, когда у клиента недостаточно баллов на очередной запрос, открывается сервис капчи, только после успешного решения капчи выполняется запрос. Количество баллов клиента восстанавливается после успешного решения капчи. Период n секунд задается в конфигурации «Weblock.».

Кол-во блокировок ModSecurity (RC) – сколько раз клиент может нарушить правила ModSecurity до блокировки. Целое число >=0.

Кол-во блокировок ModSecurity для перевода клиента в строгий режим (RCS) – сколько раз клиент может нарушить правила ModSecurity до перевода в строгий режим. Целое число >=0 и меньше параметра Кол-во блокировок ModSecurity. Если задаваемый параметр равен параметру Кол-во блокировок ModSecurity, то строгий режим игнорируется.

Время в секундах (Время) – период блокировки или на сколько секунд блокируется доступ к веб-приложению. Целое число >= 0. Действует до перезапуска веб-сервера и сервисов «Weblock.».

Кол-во нарушений лимитов anti_ddos для перевода клиента в строгий режим (AD SECS) – сколько раз клиент может нарушить ограничения защиты Анти-DDoS до перевода в строгий режим. Целое число >= 0 и меньше параметра Кол-во нарушений лимитов anti_ddos для блокировки клиента. Если задаваемый параметр = Кол-во нарушений лимитов anti_ddos для блокировки клиента, то строгий режим игнорируется.

Кол-во нарушений лимитов anti_ddos для блокировки клиента (AD SECB) – сколько раз в качестве реакции защиты Анти-DDoS клиенту будет предложено пройти проверку через сервис капчи вместо блокировки. Целое число >= 0. Задается для защиты от DDoS-атак уровня приложений в режиме работы «ATTENTIVE».

Кол-во игнорирований Set-Cookie для перевода клиента в строгий режим (AD NCS) – сколько раз клиент может отключить куки до перевода в строгий режим. Целое число >= 0 и меньше параметра Кол-во игнорирований Set-Cookie для блокировки клиента. Если задаваемый параметр = Кол-во игнорирований Set-Cookie для блокировки клиента, то строгий режим игнорируется.

Кол-во игнорирований Set-Cookie для блокировки клиента (AD NCB) – сколько раз клиент может отключить куки, избежав блокировки. Целое число >= 0.

Пример. Параметры ограничений F2B по умолчанию для различных режимов работы защиты приведены в таблице.

Параметр

Тихий режим

Внимательный режим

Параноидальный режим

Кол-во блокировок ModSecurity

20

6

6

Кол-во блокировок ModSecurity для перевода клиента в строгий режим

10

3

6

Время в секундах

300

420

420

Кол-во нарушений лимитов anti_ddos для перевода клиента в строгий режим

30

30

20

Кол-во нарушений лимитов anti_ddos для блокировки клиента

30

30

20

Кол-во игнорирований Set-Cookie для перевода клиента в строгий режим

75

75

200

Кол-во игнорирований Set-Cookie для блокировки клиента

75

100

200

Конец примера.

../_images/Weblock_Logos_small.png