Phần 5 : WAF
Giới thiệu
Cloudflare WAF là một tường lửa ứng dụng web mạnh mẽ, giúp bảo vệ trang web khỏi các cuộc tấn công nhắm vào các lỗ hổng bảo mật phổ biến như SQL Injection, Cross-Site Scripting (XSS), và lỗ hổng bảo mật (CVE). WAF hoạt động như một lớp bảo vệ thông minh, chặn đứng các cuộc tấn công trước khi chúng có thể gây thiệt hại cho trang web và ứng dụng của anh/chị.
WAF của Cloudflare giúp ngăn chặn các cuộc tấn công phổ biến và tiên tiến nhất hiện nay. Nó sử dụng hệ thống quy tắc bảo mật toàn cầu và liên tục cập nhật để nhận diện và chặn các mối đe dọa.
Không chỉ bảo vệ các trang web truyền thống, WAF của Cloudflare còn bảo vệ API, đảm bảo rằng tất cả các giao tiếp với ứng dụng của anh/chị đều an toàn và không bị tấn công.
Giải thích chi tiết về các thành phần chính của Manage rules của WAF:
Managed Rules (Quy tắc được quản lý):
Managed Rules là các quy tắc bảo mật do Cloudflare tạo ra, Cloudflare có team WAF monitor các rủi ro và vấn đề trên toàn mạng lưới và sẽ tự động cập nhật các lệnh mới để ngăn ngừa các rủi ro cho khách hàng 1 cách tự động
Cloudflare OWASP Core Ruleset:
Cloudflare sẽ tự động cập nhật và quản lý bộ lệnh OWASP Top 10
Cả Managed Rules và Cloudflare OWASP Core Ruleset đều có vai trò quan trọng trong việc bảo vệ các ứng dụng web khỏi các cuộc tấn công như SQL Injection (SQLi) và Cross-Site Scripting (XSS),CVE Tuy nhiên, khi nói đến Zero-day attacks (các cuộc tấn công chưa từng được biết đến trước đó và không có bản vá bảo mật ngay lập tức), Managed Rules có thể được cập nhật nhanh chóng để chống lại các cuộc tấn công zero-day ngay khi mối đe dọa được phát hiện. Thay vì OWASP phải được công bố theo lịch trình nhất định. Nên Cloudflare OWASP Core Ruleset chủ yếu bảo vệ các mối đe dọa đã biết và phổ biến hơn.
Cloudflare Leaked Credentials Check:
Cloudflare Leaked Credentials Check là một tính năng bảo mật chủ động, giúp phát hiện và bảo vệ người dùng khỏi việc sử dụng mật khẩu đã bị rò rỉ.
Giả sử người dùng cố gắng đăng nhập vào một trang web thương mại điện tử, nhưng mật khẩu của họ đã từng bị lộ trong một vụ xâm phạm dữ liệu. Cloudflare Leaked Credentials Check phát hiện ra điều này và thực hiện các bước sau:
Ngăn chặn đăng nhập thành công.
Hiển thị thông báo cho người dùng yêu cầu họ thay đổi mật khẩu ngay lập tức để đảm bảo tài khoản của họ không bị chiếm đoạt.
Ghi lại cảnh báo trong log hoặc gửi cảnh báo cho quản trị viên hệ thống rằng có thông tin đăng nhập bị rò rỉ đã được sử dụng.
WAF Attack Score:
Cloudflare sử dụng cơ chế đánh giá điểm tấn công để phát hiện và chặn tự động các cuộc tấn công tiềm ẩn, giúp tăng cường bảo vệ. Các điểm này sẽ giúp hỗ trợ cho bộ rule OWASP , managed rules Cloudflare phát hiện các biến thể tấn công lạ không thuộc vào các bộ rule này từ đó sẽ thực hiện action theo custom rule khách đặt
Attack
attack
Attack score between 1 and 20.
Likely attack
likely_attack
Attack score between 21 and 50.
Likely clean
likely_clean
Attack score between 51 and 80.
Clean
clean
Attack score between 81 and 99.
Custom rule của WAF:
Tạo custom rule thực hiện managed challenge cho Attack score 👍
Tạo custom rule thực hiện hành động block khi Bot score = 1
Tạo custom rule thực hiện hành động log khi Bot score từ 2 - 29:
Tools
Tạo rule cho Country , ASN với action Allow là bypass tất cả Rule của WAF , action Block là chặn request trước khi đi vào rule DDoS trước.
Đường đi ban đầu sẽ đi qua bộ IP Acces Rules rồi mới qua DDoS -> BOT -> WAF
Khuyến cáo vì action allow có thể bypass tất cả nên có thể tạo rule Custom Rule để có thể bypass một vài bộ rule nào đó hoặc lấy log để phân tích thay vì bỏ tất cả như IP Access Rules này
Ngoài ra còn có tính năng tạo rule chặn theo User Agent và tạo special IP cho cách vùng website trong ( Lockdown Zone)
Last updated