Zapobieganie obejściu zapory aplikacji sieci Web (WAF)
Jeśli ktoś zna Twój ukryty adres IP hostingu , może ominąć zaporę aplikacji internetowej (WAF) i spróbować uzyskać dostęp do Twojej witryny bezpośrednio. Nie jest to powszechne ani łatwe do zrobienia, ale dla dodatkowego bezpieczeństwa zalecamy zezwolenie na dostęp HTTP tylko za pośrednictwem WAF. Możesz ograniczyć dostęp do swojej witryny, dodając ograniczenie do swojej witryny.htaccess plik.
- Przejdź do strony strona produktu GoDaddy.
- W obszarze Zabezpieczenia witryn i kopie zapasowe wybierz opcję Zarządzaj wszystkim .
- Dla witryny, którą chcesz skonfigurować, wybierz Szczegóły w obszarze Zapora .
- Wybierz opcję Ustawienia.
- Wybierz Zabezpieczenia i przewiń w dół do sekcji Zapobieganie omijaniu zapory .
- Wybierz typ serwera. W przypadku serwerów Apache dodaj kod do pliku
.htaccess.W przypadku NGINX musisz dodać kod do pliku konfiguracyjnego NGINX.
Typowe zasady oparte na adresach IP
Najlepszym sposobem zapobiegania obchodzeniu zapory przez hakerów jest ograniczenie dostępu do serwera internetowego. Poniżej można znaleźć często używane reguły oparte na adresach IP, które pomagają ograniczyć dostęp do serwera internetowego.
Apache 2.4
# BEGIN Zapobieganie omijaniu zapory witryny < Dopasowanie plików ".* " > Wymagaj ip 208.109.0.0/22 Wymagaj ip 192.88.134.0/22 Wymagaj ip 185.93.228.0/22 Wymagaj ip 2a02: fe80 ::/29 Wymagaj ip 173.245.48.0/20 Wymagaj ip 103.21.244.0/ 22 Wymagaj ip 103.22.200.0/22 Wymagaj ip 103.31.4.0/18 Wymagaj ip 108.162.192.0/18 Wymagaj ip 190.93.240.0/20 Wymagaj ip 188.114.96.0/20 Wymagaj ip 197.234.240.0/22 Wymagany adres IP 198.41.128.0/17 Wymagany adres IP 162.158.0.0/15 Wymagany adres IP 104.16.0.0/14 Wymagany adres IP 172.64.0.0/13 Wymagany adres IP 131.0.72.0/22 Wymagany adres IP 2400: cb00 ::/ 32 Wymagaj ip 2606: 4700 ::/32 Wymagaj ip 2803: f800 ::/32 Wymagaj ip 2405: b500 ::/32 Wymagaj ip 2405: 8100 ::/32 Wymagaj ip 2a06: 98c0 ::/29 Wymagaj ip 2c0f: f248 ::/32 </FilesMatch & gt; # END Zapobieganie omijaniu zapory witryny
Jeśli witryna, którą chcesz chronić, zawiera dodatkowe domeny lub poddomeny w katalogu głównym dokumentu, a witryna używa Apache 2.4, użyj poniższego kodu zamiast zapobiegania obejściom opartym na nagłówku.
# BEGIN Zapobieganie omijaniu zapory witryny < Jeśli "{ HTTP_HOST } == & apos; coolexample.com & apos; || { HTTP_HOST } & równa się; & równa się; „www.coolexample.com”" > Wymagaj ip 208.109.0.0/22 Wymagaj ip 192.88.134.0/23 Wymagaj ip 185.93.228.0/22 Wymagaj ip 2a02: fe80 ::/29 Wymagaj ip 66.248.200.0/22 Wymagaj ip 173.245.48.0/20 Wymagaj ip 103.21.244.0/ 22 Wymagaj ip 103.22.200.0/22 Wymagaj ip 103.31.4.0/18 Wymagaj ip 108.162.192.0/18 Wymagaj ip 190.93.240.0/20 Wymagaj ip 188.114.96.0/20 Wymagaj ip 197.234.240.0/22 Wymagany adres IP 198.41.128.0/17 Wymagany adres IP 162.158.0.0/15 Wymagany adres IP 104.16.0.0/14 Wymagany adres IP 172.64.0.0/13 Wymagany adres IP 131.0.72.0/22 Wymagany adres IP 2400: cb00 ::/ 32 Wymagaj ip 2606: 4700 ::/32 Wymagaj ip 2803: f800 ::/32 Wymagaj ip 2405: b500 ::/32 Wymagaj ip 2405: 8100 ::/32 Wymagaj ip 2a06: 98c0 ::/29 Wymagaj ip 2c0f: f248 ::/32 </Jeśli & gt; # END Zapobieganie omijaniu zapory witryny
Apache 2.2.0
# BEGIN Zapobieganie omijaniu zapory witryny < Dopasowanie plików ".* " > Odmowa zamówienia, zezwalaj Odmowa od wszystkich Zezwalaj od 208.109.0.0/23 Zezwalaj od 185.93.228.0/22 Zezwalaj od 2a02: fe80 ::/29 Zezwalaj od 66.248.200.0/22 Zezwalaj od 173.245.48.0/ 20 Zezwalaj od 103.21.244.0/22 Zezwalaj od 103.22.200.0/22 Zezwalaj od 141.101.64.0/18 Zezwalaj od 108.162.192.0/18 Zezwalaj od 190.93.240.0/20 Zezwalaj od 188.114.96.0/20 Zezwalaj od 197.234.240.0/22 Zezwalaj od 198.41.128.0/17 Zezwalaj od 104.16.0.0/13 Zezwalaj od 104.24.0.0/14 Zezwalaj od 131.0.72.0/22 Zezwalaj od 2400: cb00 ::/32 Zezwalaj od 2606: 4700 ::/32 Zezwalaj od 2803: f800 ::/32 Zezwalaj od 2405: b500 ::/32 Zezwalaj od 2405: 8100 ::/32 Zezwalaj od 2a06: 98c0: :/29 Zezwalaj od 2c0f: f248 ::/32 </FilesMatch & gt; # END Zapobieganie omijaniu zapory witryny
Jeśli standardowy kod zapobiegający obejściu nie działa, możesz wypróbować następujący kod, który wymaga nagłówka Sucuri WAF.
#BEGIN Zapobieganie obejściu zapory witryny RewriteEngine On RewriteCond { HTTP: X-SUCURI-CLIENTIP } ^ $ RewriteCond & percnt; { HTTP: X-SUCURI-COUNTRY } ^ $ RewriteRule ^ (.*) $ - & lsqb; F, L & rsqb; ErrorDocument 403 Zabronione # END Zapobieganie omijaniu zapory witryny
Kod alternatywny sprawdzi, czy nagłówki X-SUCURI-CLIENTIP i X-SUCURI-COUNTRY są obecne, a jeśli ich nie ma, zwróci kod stanu 403 Forbidden.
Zarządzany system Wordpress
Jeśli Twoje konto jest wyświetlane jako hosting WPaaS, być może serwer HAproxy lub openresty nie przekazuje poprawnych adresów IP w żądaniu. Użyj poniższego kodu, aby rozwiązać problem.
# BEGIN Zapobieganie obejściu zapory witryny RewriteEngine On RewriteCond%{HTTP_HOST} ^(www.)? coolexample.com $ RewriteCond %{HTTP:X-SUCURI-CLIENTIP} ^$ RewriteCond %{HTTP:X-SUCURI-COUNTRY} ^$ RewriteRule ^(.*) $-[F, L] ErrorDocument 403 Forbidden # END Zapobieganie obejściu zapory witryny
Pamiętaj, aby zastąpić coolexample.com rzeczywistą nazwą domeny. Pamiętaj, aby wyczyścić pamięć podręczną zarządzanego lakieru WordPress przed przetestowaniem funkcji zapobiegania obejściu zapory, ponieważ nadal możesz otrzymać odpowiedź zapisaną w pamięci podręcznej 200 OK . Można to zrobić w panelu administratora WordPressa lub uzyskując dostęp do SSH (Secure Shell) za pośrednictwem WP-CLI, narzędzia wiersza poleceń do zarządzania witrynami WordPress.
Więcej informacji
- Jeśli używasz usług IIS, instrukcje różnią się w zależności od wersji - IIS 7 , IIS 8 i IIS 9/10 . Możesz także spróbować użyć pliku web.config , aby zapobiec obejściu.
- Czy otrzymujesz kod błędu 500 po dodaniu reguł zapobiegania obejściu? Usuń wiersz odnoszący się do protokołu IPv6 z kodu zapobiegającego obejściu i zobacz, czy błąd zniknął. Usunięcie błędu 500 może zająć kilka minut po usunięciu tego wiersza.
