Firewall
Firewall é um produto de segurança da Azion que protege seus servidores e aplicações, desde a camada da rede até a camada da aplicação. Com o Firewall, você pode configurar proteção para todos os tipos de ameaças e ataques, tudo em um único lugar.
Vantagens de usar o Firewall:
- Impede que cibercriminosos cheguem à sua origem/servidor.
- Altamente programável, modular e extensível.
- Permite execução de código-fonte de proteção personalizado diretamente na rede distribuída da Azion.
- Permite criação de regras customizadas, blocklists e graylists com base em IP/CIDR, ASN ou localização do usuário.
- Protege aplicações contra tráfego malicioso da rede Tor e de outras fontes, incluindo botnets, malwares, proxies, entre outros.
- Limita taxa de acesso, usando critérios complexos e múltiplos buckets.
- Mitigação de ataques do tipo Denial of Service (DoS e DDoS).
- Protege contra as principais ameaças listadas na OWASP Top 10, entre outras ameaças.
- Implementação de técnicas de mitigação de bots, incluindo listas de bloqueio, impressões digitais, proteção contra adulteração, prevenção de força bruta, limitação avançada de taxa, desafio humano, entre outros.
- Integração com serviços externos, oferecidos pela Azion ou por desenvolvedores terceiros, para reputação de IP, impressão digital, JSON Web Tokens (JWT), preenchimento de credenciais, aquisição de contas, raspagem de preços, raspagem de contatos, entre outros.
Para detalhes sobre a contabilização do produto, acesse a página de preços.
Implementação
| Escopo | Fonte |
|---|---|
| Main settings | Como definir as main settings de um firewall |
| Atualizar Firewall | Como atualizar o seu Firewall |
| Saiba mais sobre Network Lists | Network Lists |
| Saiba mais sobre Rule Sets | WAF Rule Sets |
| Saiba mais sobre WAF Custom Allowed Rules | WAF Custom Allowed Rules |
| Saiba mais sobre Functions | Functions Instances para Firewall |
| Saiba mais sobre Rules Engine | Rules Engine para Firewall |
| Saiba mais sobre Digital Certificates | Digital Certificates para Secure |
| Compatibilidade com DNSSEC | Compatibilidade com DNSSEC |
| Criar network lists | Como criar blocklists de IP com Network Shield |
| Modo do WAF | Como verificar o seu modo WAF |
Como funciona o Firewall
Ao usar a Azion, você pode criar configurações de segurança no Firewall para proteger suas aplicações.
Um firewall consiste em um nome de identificação, uma lista de domínios que essas configurações de segurança devem ser aplicadas, quais são os módulos aplicados e quais são as regras de segurança configuradas na aba Rules Engine.
Consulte o guia definir main settingsRules Engine para Firewall
Depois de ativar os módulos desejados, você deve configurar suas regras de segurança na aba Rules Engine. As regras que você configurar serão executadas sequencialmente até que a requisição seja bloqueada, ou até que todas as suas regras sejam processadas, autorizando a requisição.
Um requisição só chega a sua aplicação caso nenhuma regra configurada a bloqueie ou a rejeite. Isso garante que requisições mal intencionadas não cheguem à origem/servidor da sua aplicação.
Cada Rule Set é composta de Criteria (condicionais) e Behaviors (comandos). Se as Criteria (condições) forem atendidas, os Behaviors (comandos) serão executados. Por exemplo, você pode configurar regras para bloquear requisições provenientes de IPs que estão em uma lista de bloqueio ou até mesmo criar regras para excluir IPs que estejam na lista de regras permitidas. Neste exemplo, “block” é o Behavior, enquanto o IP da requisição, que está na lista de bloqueio e não está presente nas regras permitidas, é a condição (Criteria).
Saiba mais sobre rules engine Consulte o guia trabalhar com rules engineA disponibilidade de Criteria e Behaviors no Firewall depende dos módulos ativados durante a configuração principal de um firewall. Veja a lista de Criteria e Behaviors disponíveis para cada módulo do Firewall:
| Module | Criteria | Behavior |
|---|---|---|
| Built-in (always on) | HostnameRequest URISchemeClient Certificate ValidationSsl Verification Status | Deny (403 Forbidden)Drop (Close Without Response)Set Rate Limit |
| Functions | - | Run Function |
| Network Shield | Network | - |
| Web Application Firewall | Header AcceptHeader Accept-EncodingHeader Accept-LanguageHeader CookieHeader OriginHeader RefererHeader User AgentRequest ArgsRequest Method | Set WAF Rule Set |
Sobre os módulos do Firewall
DDoS Protection
O módulo DDoS Protection protege sua aplicação contra ataques do tipo Distributed Denial of Service (DDoS), pois detecta ataques usando algoritmos avançados que são executados na rede distribuída da Azion. Essa rede distribuída está conectada a diversos centros de mitigação de uma forma que conseguimos garantir a mitigação durante ataques de larga escala, tanto a nível de rede quanto a nível de aplicação.
Saiba mais sobre DDoS ProtectionFunctions
Functions para Firewall é um componente da plataforma da Azion que permite que funções serverless sejam adicionadas a suas aplicações e configurações de firewall, aliviando sua infraestrutura, executando-as mais próximas do usuário final, o que garante agilidade e escalabilidade. Você pode escolher uma função pronta, desenvolvida pela Azion ou por terceiros, ou até mesmo desenvolver a sua própria.
Saiba mais sobre Functions para Firewall Consulte o guia instanciar edge functionsNetwork Shield
Este módulo permite a criação de filtros por IP/CIDR, ASN ou por países (geolocalização) através da configuração de Network Lists e da definição de regras de negócio que validarão as Criteria para bloqueio ou liberação, de acordo com a sua necessidade.
Saiba mais sobre Network ShieldExtensão Origin Shield
Com a extensão Origin Shield, você pode criar um perímetro de segurança para a origem de suas aplicações, seja um provedor de nuvem, hospedagem ou até mesmo seu próprio data center. Você pode definir que apenas alguns endereços IP específicos possam acessar sua origem e todas as requisições de endereços IP indesejados serão bloqueadas.
Saiba mais sobre Origin ShieldWeb Application Firewall
O Web Application Firewall (WAF) da Azion protege suas aplicações contra ameaças do tipo SQL Injections, Remote File Inclusion (RFI), Cross-Site Scripting (XSS) e muitas outras. O WAF analisa requisições HTTP e HTTPS, detecta e bloqueia ameaças antes que elas possam chegar à sua infraestrutura e afetar o desempenho de suas aplicações.
Ele opera na sétima camada do modelo OSI, na camada da aplicação, e é baseado num sistema de pontuação. Cada requisição é comparada com um conjunto rigoroso e detalhado de padrões e recebe uma pontuação, que pode ser associada a uma determinada família de ameaças. De acordo com a pontuação que esta requisição recebe, ela pode ser liberada ou bloqueada. É possível personalizar a sensibilidade desejada e ter um bloqueio diferenciado para cada família de ameaças.
Saiba mais sobre Web Application Firewall Consulte o guia criar waf rule setClonagem de um firewall
Você pode clonar um firewall já existente através da API da Azion.
O novo firewall clonado terá configurações idênticas ao original, incluindo main settings, functions instances e regras do Rules Engine. Porém, os domínios associados ao firewall original não serão copiados para o clonado.
Você precisa obter o ID do firewall que deseja clonar e, em seguida, enviar uma requisição POST para cloná-lo, fornecendo um novo nome.
Clonar um firewallLimites
Estes são os limites default:
| Escopo | Limite |
|---|---|
| Entradas de Network Lists | 20.000 linhas |
| ASN em uma network list | 20.000 linhas |
| IP/CIDR em uma network list | 20.000 linhas |
| Web Application Firewall | 128 kB |
| Domínios por firewall | 200 |