smoxy

Deutsch

English

Deutsch

English

Erscheinungsbild

Sicherheit & WAF

smoxy enthält eine integrierte Web Application Firewall (WAF) und Sicherheitsschicht, die Sites vor bösartigem Traffic schützt. Das Sicherheitsmodul arbeitet auf der Proxy-Ebene und funktioniert unabhängig vom CDN — eine CDN-Aktivierung ist für die Nutzung der Sicherheitsfunktionen nicht erforderlich.

Überblick

Das Sicherheitssystem von smoxy bietet mehrere Schutzebenen:

EbeneBeschreibung
WAFErkennt und blockiert automatisch bösartige Anfragen
ZugriffsregelnEigene Regeln, die definiert werden, um Traffic basierend auf Bedingungen zu erlauben, zu blockieren oder zu fordern
Basic AuthDie Site oder bestimmte Seiten mit HTTP-Basic-Authentication per Passwort schützen
Under Attack ModeNotfallmodus mit zusätzlichem Schutz bei aktiven Angriffen

Sicherheit aktivieren

Sicherheit wird pro Site konfiguriert und erfordert, dass die Proxy-Funktion aktiv ist.

  1. Zur Site in smoxy navigieren
  2. Sicherheits-Einstellungen öffnen
  3. Schalter Sicherheit aktivieren
  4. Speichern

INFO

Hinweis: Sicherheit erfordert, dass der Proxy auf der Site aktiviert ist. Wenn der Proxy deaktiviert ist, wird die Sicherheit automatisch ebenfalls deaktiviert.

WAF (Web Application Firewall)

Wenn Sicherheit aktiviert ist, prüft die WAF von smoxy automatisch eingehende Anfragen und blockiert solche, die bekannten bösartigen Mustern entsprechen.

Die WAF ist so konzipiert, dass sie für alle Sites sicher aktiviert werden kann. Sie zielt auf eindeutig bösartigen Traffic ab, ohne legitime Besucher zu beeinträchtigen. Eine Konfiguration einzelner WAF-Regeln ist nicht erforderlich — smoxy verwaltet das Regelwerk automatisch.

Wovor die WAF schützt

Die WAF bietet Schutz gegen häufige Webangriffe und bösartige Anfragemuster. Die spezifischen Regeln werden von smoxy verwaltet und kontinuierlich aktualisiert, um auf sich entwickelnde Bedrohungen zu reagieren.

Benutzerdefinierte Sicherheitsseite

Wenn die WAF eine Anfrage blockiert, sieht der Besucher eine 403 Forbidden-Antwort. Diese Seite lässt sich an das eigene Branding anpassen. Siehe Benutzerdefinierte Seiten für Details zum Upload einer benutzerdefinierten Sicherheitsseite.

Zugriffsregeln

Zugriffsregeln bieten feingranulare Kontrolle darüber, welcher Traffic erlaubt, blockiert oder gefordert wird. Es lassen sich Regeln erstellen, die auf Anfrageeigenschaften wie IP-Adresse, Land, User Agent, URL-Pfad und mehr abgleichen — und dann wählen, ob der übereinstimmende Traffic erlaubt, blockiert oder gefordert wird, oder ob Sicherheitsprüfungen übersprungen werden sollen.

Zugriffsregeln werden vor jeder anderen Verarbeitung ausgewertet, einschließlich der WAF. Das macht sie ideal, um vertrauenswürdigen Traffic auf eine Whitelist zu setzen oder bekannte bösartige Akteure zu blockieren.

Die vollständige Anleitung zum Erstellen und Verwalten von Zugriffsregeln — einschließlich aller verfügbaren Bedingungen, Operatoren und detaillierter Beispiele — findet sich unter Zugriffsregeln.

Basic Auth

Basic Auth fügt HTTP-Basic-Authentication zur Site hinzu und erfordert, dass Besucher einen Benutzernamen und ein Passwort eingeben, bevor sie auf Inhalte zugreifen können. Dies ist nützlich zum Schutz von Staging-Umgebungen, internen Tools oder zur Zugriffsbeschränkung während der Entwicklung.

Benutzer verwalten

Basic-Auth-Benutzer werden pro Site verwaltet. Jeder Benutzer hat einen Benutzernamen, ein Passwort und einen optionalen Kommentar.

Benutzernamenregeln: Muss mit einem Buchstaben beginnen, darf nur alphanumerische Zeichen, Bindestriche und Unterstriche enthalten und darf nicht mit einem Bindestrich oder Unterstrich enden.

Passwortregeln: Mindestens 5 Zeichen.

Basic Auth aktivieren

Basic Auth lässt sich in drei Modi aktivieren:

ModusBeschreibung
AusKeine Authentifizierung erforderlich
Alle BenutzerJeder konfigurierte Basic-Auth-Benutzer kann auf die Site zugreifen
Ausgewählte BenutzerNur bestimmte Basic-Auth-Benutzer können auf die Site zugreifen

Pro-Request-Überschreibungen

Basic Auth kann für bestimmte Anfragen mit Conditional Rules aktiviert oder deaktiviert werden. Das ermöglicht:

  • Nur bestimmte URL-Pfade schützen (z. B. /admin)
  • Authentifizierung nur aus bestimmten IP-Bereichen verlangen
  • Authentifizierung für vertrauenswürdige IPs umgehen, während sie für alle anderen erforderlich ist

Under Attack Mode

Der Under Attack Mode ist eine Notfalleinstellung für den Fall, dass die Site einem aktiven DDoS-Angriff oder ungewöhnlich hohem bösartigem Traffic-Aufkommen ausgesetzt ist.

Wenn aktiviert, wendet smoxy aggressivere Sicherheitsprüfungen auf alle eingehenden Anfragen an. Dies kann eine kurze Verzögerung für legitime Besucher verursachen, während sie die zusätzliche Verifizierung durchlaufen, reduziert aber die Auswirkungen des Angriffsverkehrs erheblich.

Wann verwenden

  • Die Site ist von einem DDoS-Angriff betroffen
  • Ein plötzlicher Anstieg bei blockierten oder geforderten Anfragen ist sichtbar
  • Der Origin-Server steht unter hoher Last durch bösartigen Traffic

Wann deaktivieren

Den Under Attack Mode abschalten, sobald der Angriff abklingt. Die zusätzliche Verifizierung fügt eine leichte Latenz für alle Besucher hinzu, daher sollte er nur während Vorfällen aktiv sein.

Wichtige Hinweise

  • Sicher zu aktivieren: Die WAF ist für eine breite Aktivierung ausgelegt. Sie zielt auf bösartige Muster ab, ohne legitimen Traffic zu beeinträchtigen, wodurch sie für alle Sites sicher aktiviert werden kann.
  • Proxy erforderlich: Sicherheitsfunktionen erfordern, dass der Proxy aktiviert ist. Ohne Proxy wird die Sicherheit automatisch deaktiviert.
  • CDN nicht erforderlich: Sicherheit arbeitet auf der Proxy-Ebene und funktioniert unabhängig vom CDN. Sicherheitsfunktionen lassen sich nutzen, ohne CDN für die Hostnamen zu aktivieren.
  • Regelreihenfolge beachten: Zugriffsregeln werden der Reihe nach verarbeitet. Spezifischste Regeln zuerst platzieren und das Stop-Flag verwenden, um unnötige Regelauswertung zu vermeiden.
  • Skip-Regeln für APIs: Bei API-Endpunkten, die ungewöhnliche Payloads verarbeiten (Code-Snippets, Binärdaten), empfiehlt sich das Hinzufügen von Skip-Regeln, um falsch-positive WAF-Blockierungen zu vermeiden.
  • Under Attack Mode ist temporär: Den Under Attack Mode nur während aktiver Angriffe aktivieren. Bei Normalisierung der Situation deaktivieren, um unnötige Latenz für legitime Besucher zu vermeiden.
  • Benutzerdefinierte Seiten: Die 403-Seite (Sicherheitsblockierung) lässt sich an das eigene Branding anpassen. Siehe Benutzerdefinierte Seiten.