Firewall

Firewall é um produto de segurança da Azion que protege seus servidores e aplicações, desde a camada da rede até a camada da aplicação. Com o Firewall, você pode configurar proteção para todos os tipos de ameaças e ataques, tudo em um único lugar.

Vantagens de usar o Firewall:

  • Impede que cibercriminosos cheguem à sua origem/servidor.
  • Altamente programável, modular e extensível.
  • Permite execução de código-fonte de proteção personalizado diretamente na rede distribuída da Azion.
  • Permite criação de regras customizadas, blocklists e graylists com base em IP/CIDR, ASN ou localização do usuário.
  • Protege aplicações contra tráfego malicioso da rede Tor e de outras fontes, incluindo botnets, malwares, proxies, entre outros.
  • Limita taxa de acesso, usando critérios complexos e múltiplos buckets.
  • Mitigação de ataques do tipo Denial of Service (DoS e DDoS).
  • Protege contra as principais ameaças listadas na OWASP Top 10, entre outras ameaças.
  • Implementação de técnicas de mitigação de bots, incluindo listas de bloqueio, impressões digitais, proteção contra adulteração, prevenção de força bruta, limitação avançada de taxa, desafio humano, entre outros.
  • Integração com serviços externos, oferecidos pela Azion ou por desenvolvedores terceiros, para reputação de IP, impressão digital, JSON Web Tokens (JWT), preenchimento de credenciais, aquisição de contas, raspagem de preços, raspagem de contatos, entre outros.

Para detalhes sobre a contabilização do produto, acesse a página de preços.

Implementação

EscopoFonte
Main settingsComo definir as main settings de um firewall
Atualizar FirewallComo atualizar o seu Firewall
Saiba mais sobre Network ListsNetwork Lists
Saiba mais sobre Rule SetsWAF Rule Sets
Saiba mais sobre WAF Custom Allowed RulesWAF Custom Allowed Rules
Saiba mais sobre FunctionsFunctions Instances para Firewall
Saiba mais sobre Rules EngineRules Engine para Firewall
Saiba mais sobre Digital CertificatesDigital Certificates para Secure
Compatibilidade com DNSSECCompatibilidade com DNSSEC
Criar network listsComo criar blocklists de IP com Network Shield
Modo do WAFComo verificar o seu modo WAF

Como funciona o Firewall

Ao usar a Azion, você pode criar configurações de segurança no Firewall para proteger suas aplicações.

Um firewall consiste em um nome de identificação, uma lista de domínios que essas configurações de segurança devem ser aplicadas, quais são os módulos aplicados e quais são as regras de segurança configuradas na aba Rules Engine.

Consulte o guia definir main settings

Rules Engine para Firewall

Depois de ativar os módulos desejados, você deve configurar suas regras de segurança na aba Rules Engine. As regras que você configurar serão executadas sequencialmente até que a requisição seja bloqueada, ou até que todas as suas regras sejam processadas, autorizando a requisição.

Um requisição só chega a sua aplicação caso nenhuma regra configurada a bloqueie ou a rejeite. Isso garante que requisições mal intencionadas não cheguem à origem/servidor da sua aplicação.

Cada Rule Set é composta de Criteria (condicionais) e Behaviors (comandos). Se as Criteria (condições) forem atendidas, os Behaviors (comandos) serão executados. Por exemplo, você pode configurar regras para bloquear requisições provenientes de IPs que estão em uma lista de bloqueio ou até mesmo criar regras para excluir IPs que estejam na lista de regras permitidas. Neste exemplo, “block” é o Behavior, enquanto o IP da requisição, que está na lista de bloqueio e não está presente nas regras permitidas, é a condição (Criteria).

Saiba mais sobre rules engine Consulte o guia trabalhar com rules engine

A disponibilidade de Criteria e Behaviors no Firewall depende dos módulos ativados durante a configuração principal de um firewall. Veja a lista de Criteria e Behaviors disponíveis para cada módulo do Firewall:

ModuleCriteriaBehavior
Built-in (always on)Hostname
Request URI
Scheme
Client Certificate Validation
Ssl Verification Status
Deny (403 Forbidden)
Drop (Close Without Response)
Set Rate Limit
Functions-Run Function
Network ShieldNetwork-
Web Application FirewallHeader Accept
Header Accept-Encoding
Header Accept-Language
Header Cookie
Header Origin
Header Referer
Header User Agent
Request Args
Request Method
Set WAF Rule Set

Sobre os módulos do Firewall

DDoS Protection

O módulo DDoS Protection protege sua aplicação contra ataques do tipo Distributed Denial of Service (DDoS), pois detecta ataques usando algoritmos avançados que são executados na rede distribuída da Azion. Essa rede distribuída está conectada a diversos centros de mitigação de uma forma que conseguimos garantir a mitigação durante ataques de larga escala, tanto a nível de rede quanto a nível de aplicação.

Saiba mais sobre DDoS Protection

Functions

Functions para Firewall é um componente da plataforma da Azion que permite que funções serverless sejam adicionadas a suas aplicações e configurações de firewall, aliviando sua infraestrutura, executando-as mais próximas do usuário final, o que garante agilidade e escalabilidade. Você pode escolher uma função pronta, desenvolvida pela Azion ou por terceiros, ou até mesmo desenvolver a sua própria.

Saiba mais sobre Functions para Firewall Consulte o guia instanciar edge functions

Network Shield

Este módulo permite a criação de filtros por IP/CIDR, ASN ou por países (geolocalização) através da configuração de Network Lists e da definição de regras de negócio que validarão as Criteria para bloqueio ou liberação, de acordo com a sua necessidade.

Saiba mais sobre Network Shield

Extensão Origin Shield

Com a extensão Origin Shield, você pode criar um perímetro de segurança para a origem de suas aplicações, seja um provedor de nuvem, hospedagem ou até mesmo seu próprio data center. Você pode definir que apenas alguns endereços IP específicos possam acessar sua origem e todas as requisições de endereços IP indesejados serão bloqueadas.

Saiba mais sobre Origin Shield

Web Application Firewall

O Web Application Firewall (WAF) da Azion protege suas aplicações contra ameaças do tipo SQL Injections, Remote File Inclusion (RFI), Cross-Site Scripting (XSS) e muitas outras. O WAF analisa requisições HTTP e HTTPS, detecta e bloqueia ameaças antes que elas possam chegar à sua infraestrutura e afetar o desempenho de suas aplicações.

Ele opera na sétima camada do modelo OSI, na camada da aplicação, e é baseado num sistema de pontuação. Cada requisição é comparada com um conjunto rigoroso e detalhado de padrões e recebe uma pontuação, que pode ser associada a uma determinada família de ameaças. De acordo com a pontuação que esta requisição recebe, ela pode ser liberada ou bloqueada. É possível personalizar a sensibilidade desejada e ter um bloqueio diferenciado para cada família de ameaças.

Saiba mais sobre Web Application Firewall Consulte o guia criar waf rule set

Clonagem de um firewall

Você pode clonar um firewall já existente através da API da Azion.

O novo firewall clonado terá configurações idênticas ao original, incluindo main settings, functions instances e regras do Rules Engine. Porém, os domínios associados ao firewall original não serão copiados para o clonado.

Você precisa obter o ID do firewall que deseja clonar e, em seguida, enviar uma requisição POST para cloná-lo, fornecendo um novo nome.

Clonar um firewall

Limites

Estes são os limites default:

EscopoLimite
Entradas de Network Lists20.000 linhas
ASN em uma network list20.000 linhas
IP/CIDR em uma network list20.000 linhas
Web Application Firewall128 kB
Domínios por firewall200