Skip to content

Sicherheit & WAF

smoxy enthält eine integrierte Web Application Firewall (WAF) und Sicherheitsschicht, die Zonen vor bösartigem Traffic schützt. Das Sicherheitsmodul arbeitet auf der Proxy-Ebene und funktioniert unabhängig vom CDN - eine CDN-Aktivierung ist für die Nutzung der Sicherheitsfunktionen nicht erforderlich. Die Sicherheitsprüfung passiert vor Caching und Origin-Abruf — wo sie im Anfrageablauf steht, zeigt der Lebenszyklus einer Anfrage.

Die WAF- und Sicherheitseinstellungen einer Zone.Die WAF- und Sicherheitseinstellungen einer Zone.
Die WAF- und Sicherheitseinstellungen einer Zone.

Überblick

Das Sicherheitssystem von smoxy bietet mehrere Schutzebenen:

EbeneBeschreibung
WAFErkennt und blockiert automatisch bösartige Anfragen
Verwaltete SzenarienKuratierte Erkennungsszenarien, die smoxy für die Zone pflegt und aktualisiert
Access RulesEigene Regeln, die definiert werden, um Traffic basierend auf Bedingungen zu erlauben, zu blockieren oder per Challenge zu prüfen
Basic AuthDie Zone oder bestimmte Seiten mit HTTP-Basic-Authentication per Passwort schützen
Under Attack ModeNotfallmodus mit zusätzlichem Schutz bei aktiven Angriffen

Sicherheit aktivieren

Sicherheit wird pro Zone konfiguriert und erfordert, dass die Proxy-Funktion aktiv ist.

  1. Zur Zone in smoxy navigieren
  2. WAF-Einstellungen öffnen
  3. Schalter Web Application Firewall aktivieren
  4. Speichern

INFO

Hinweis: Sicherheit erfordert, dass der Proxy auf der Zone aktiviert ist. Wenn der Proxy deaktiviert ist, wird die Sicherheit automatisch ebenfalls deaktiviert.


WAF (Web Application Firewall)

Wenn Sicherheit aktiviert ist, prüft die WAF von smoxy automatisch eingehende Anfragen und blockiert solche, die bekannten bösartigen Mustern entsprechen.

Die WAF ist so konzipiert, dass sie für alle Zonen sicher aktiviert werden kann. Sie zielt auf eindeutig bösartigen Traffic ab, ohne legitime Besucher zu beeinträchtigen. Eine Konfiguration einzelner WAF-Regeln ist nicht erforderlich - smoxy verwaltet das Regelwerk automatisch.

Wovor die WAF schützt

Die WAF bietet Schutz gegen häufige Webangriffe und bösartige Anfragemuster. Die spezifischen Regeln werden von smoxy verwaltet und kontinuierlich aktualisiert, um auf sich entwickelnde Bedrohungen zu reagieren.

Benutzerdefinierte Sicherheitsseite

Wenn die WAF eine Anfrage blockiert, sieht der Besucher in der Regel eine 403 Forbidden-Antwort. Diese Seite lässt sich an das eigene Branding anpassen. Siehe Benutzerdefinierte Seiten für Details zum Upload einer benutzerdefinierten Sicherheitsseite.


Verwaltete Sicherheitsszenarien

Zusätzlich zur WAF pflegt smoxy eine kuratierte Sammlung von Sicherheitsszenarien - Erkennungsregeln, die den Live-Traffic auf bestimmtes Angriffsverhalten überwachen. smoxy ergänzt neue Szenarien und justiert bestehende automatisch, während sich Bedrohungen weiterentwickeln, sodass der Schutz ohne manuellen Aufwand aktuell bleibt.

Was Szenarien erkennen

Szenarien zielen auf eindeutig bösartiges Verhalten wie Credential Stuffing, Pfad- und Schwachstellen-Scans sowie automatisierte Bot-Angriffe. Jedes Szenario wird von smoxy geschrieben und gepflegt - eigene Erstellung oder Konfiguration ist nicht nötig.

Standardmäßig aktiv

Die meisten verwalteten Szenarien sind standardmäßig aktiv, einige jedoch optional (Opt-in). Ein Eingreifen ist nur nötig, um ein einzelnes Szenario zu ändern.

Szenarien einsehen

Auf der WAF-Seite der Zone listet die Karte Von smoxy verwaltete Szenarien die Szenarien, die die Zone schützen. Ein Klick auf Szenarien verwalten öffnet die Liste - jeder Eintrag zeigt den Namen, eine kurze Beschreibung und einen Ein/Aus-Schalter für den aktuellen Status in dieser Zone.

Der Dialog der verwalteten Szenarien: jedes Szenario mit einem Ein/Aus-Schalter pro Zone.Der Dialog der verwalteten Szenarien: jedes Szenario mit einem Ein/Aus-Schalter pro Zone.
Der Dialog der verwalteten Szenarien: jedes Szenario mit einem Ein/Aus-Schalter pro Zone.

Ein Szenario deaktivieren

Den Schalter eines Szenarios auf Aus stellen, um es für diese Zone zu deaktivieren, oder wieder auf Ein, um es zu reaktivieren. Änderungen gelten pro Zone und greifen kurz darauf automatisch am Edge.

Wann deaktivieren

Für die meisten Zonen sollten alle Szenarien aktiv bleiben. Eine Deaktivierung empfiehlt sich nur, wenn ein bestimmtes Szenario falsch-positive Treffer für die eigene Anwendung verursacht - wobei das Deaktivieren eines Szenarios den Schutz reduziert. Im Zweifel vor dem Deaktivieren den Support kontaktieren.

INFO

Hinweis: Szenario-Deaktivierungen gelten unabhängig pro Zone und wirken sich nicht auf den WAF-Schalter aus. Das Deaktivieren eines Szenarios schaltet die WAF nicht ab und umgekehrt.

Verhältnis zu WAF und Access Rules

Verwaltete Szenarien sind eine zusätzliche, von smoxy gepflegte Erkennungsebene, die parallel zur WAF arbeitet. Access Rules bleiben das eigene Werkzeug, um Traffic anhand selbst definierter Bedingungen zu erlauben, zu blockieren oder per Challenge zu prüfen.


Access Rules

Access Rules bieten feingranulare Kontrolle darüber, welcher Traffic erlaubt, blockiert oder per Challenge geprüft wird. Es lassen sich Regeln erstellen, die auf Anfrageeigenschaften wie IP-Adresse, Land, User Agent, URL-Pfad und mehr abgleichen - und dann wählen, ob der übereinstimmende Traffic erlaubt, blockiert oder per Challenge geprüft wird, oder ob Sicherheitsprüfungen übersprungen werden sollen.

Access Rules werden nach den Zonen- und globalen IP-Listen, aber vor den Szenario- und WAF-Prüfungen ausgewertet — die genaue Reihenfolge zeigt der Lebenszyklus einer Anfrage. Das macht sie ideal für eigene Allow-/Deny-Richtlinien oberhalb der Vertrauenslisten.

Die vollständige Anleitung zum Erstellen und Verwalten von Access Rules - einschließlich aller verfügbaren Bedingungen, Operatoren und detaillierter Beispiele - findet sich unter Access Rules.


Basic Auth

Basic Auth fügt HTTP-Basic-Authentication zur Zone hinzu und erfordert, dass Besucher einen Benutzernamen und ein Passwort eingeben, bevor sie auf Inhalte zugreifen können. Dies ist nützlich zum Schutz von Staging-Umgebungen, internen Tools oder zur Zugriffsbeschränkung während der Entwicklung.

Benutzer verwalten

Basic-Auth-Benutzer werden pro Zone verwaltet. Jeder Benutzer hat einen Benutzernamen, ein Passwort und einen optionalen Kommentar.

Das Formular „Neuen Benutzer hinzufügen“: Benutzername, Passwort und ein optionaler Kommentar.Das Formular „Neuen Benutzer hinzufügen“: Benutzername, Passwort und ein optionaler Kommentar.
Das Formular „Neuen Benutzer hinzufügen“: Benutzername, Passwort und ein optionaler Kommentar.

Benutzernamenregeln: Muss mit einem Buchstaben beginnen, darf nur alphanumerische Zeichen, Bindestriche und Unterstriche enthalten und darf nicht mit einem Bindestrich oder Unterstrich enden.

Passwortregeln: Mindestens 8 Zeichen.

Basic Auth aktivieren

Auf der Basic-Auth-Seite der Zone den Schalter Schutz aktivieren einschalten. Sobald aktiviert, müssen Besucher sich mit einem der Zugangsdaten aus der Liste Autorisierte Benutzer authentifizieren, bevor sie auf die Zone zugreifen können. In den Organisationseinstellungen konfigurierte IP-Whitelists können die Authentifizierung umgehen.

Pro-Regel-Überschreibungen

Für feinere Kontrolle enthalten Conditional Rules eine Basic Auth-Einstellung, die Basic Auth für Anfragen überschreibt, die auf die Regel zutreffen. Sie bietet drei Modi:

ModusBeschreibung
DeaktiviertKeine Authentifizierung für zutreffende Anfragen erforderlich
Alle BenutzerJeder autorisierte Benutzer kann auf zutreffende Anfragen zugreifen
Bestimmte BenutzerNur ausgewählte autorisierte Benutzer können auf zutreffende Anfragen zugreifen

Das ermöglicht:

  • Nur bestimmte URL-Pfade schützen (z. B. /admin)
  • Authentifizierung nur aus bestimmten IP-Bereichen verlangen
  • Authentifizierung für vertrauenswürdige IPs umgehen, während sie für alle anderen erforderlich ist

Under Attack Mode

Der Under Attack Mode ist eine Notfalleinstellung für den Fall, dass die Zone einem aktiven DDoS-Angriff oder ungewöhnlich hohem bösartigem Traffic-Aufkommen ausgesetzt ist.

Wenn aktiviert, wendet smoxy aggressivere Sicherheitsprüfungen auf alle eingehenden Anfragen an. Dies kann eine kurze Verzögerung für legitime Besucher verursachen, während sie die zusätzliche Verifizierung durchlaufen, reduziert aber die Auswirkungen des Angriffsverkehrs erheblich.

Der Under-Attack-Modus-Tab des Schnellaktionen-Dialogs mit dem Warnhinweis vor dem Aktivieren.Der Under-Attack-Modus-Tab des Schnellaktionen-Dialogs mit dem Warnhinweis vor dem Aktivieren.
Der Under-Attack-Modus-Tab des Schnellaktionen-Dialogs mit dem Warnhinweis vor dem Aktivieren.

Wann verwenden

  • Die Zone ist von einem DDoS-Angriff betroffen
  • Ein plötzlicher Anstieg bei blockierten oder per Challenge geprüften Anfragen ist sichtbar
  • Der Origin-Server steht unter hoher Last durch bösartigen Traffic

Wann deaktivieren

Den Under Attack Mode abschalten, sobald der Angriff abklingt. Die zusätzliche Verifizierung fügt eine leichte Latenz für alle Besucher hinzu, daher sollte er nur während Vorfällen aktiv sein.


Wichtige Hinweise

  • Sicher zu aktivieren: Die WAF ist für eine breite Aktivierung ausgelegt. Sie zielt auf bösartige Muster ab, ohne legitimen Traffic zu beeinträchtigen, wodurch sie für alle Zonen sicher aktiviert werden kann.
  • Proxy erforderlich: Sicherheitsfunktionen erfordern, dass der Proxy aktiviert ist. Ohne Proxy wird die Sicherheit automatisch deaktiviert.
  • CDN nicht erforderlich: Sicherheit arbeitet auf der Proxy-Ebene und funktioniert unabhängig vom CDN. Sicherheitsfunktionen lassen sich nutzen, ohne CDN für die Hostnamen zu aktivieren.
  • Regelreihenfolge beachten: Access Rules werden der Reihe nach verarbeitet. Spezifischste Regeln zuerst platzieren und das Stop-Flag verwenden, um unnötige Regelauswertung zu vermeiden.
  • Skip-Regeln für APIs: Bei API-Endpunkten, die ungewöhnliche Payloads verarbeiten (Code-Snippets, Binärdaten), empfiehlt sich das Hinzufügen von Skip-Regeln, um falsch-positive WAF-Blockierungen zu vermeiden.
  • Under Attack Mode ist temporär: Den Under Attack Mode nur während aktiver Angriffe aktivieren. Bei Normalisierung der Situation deaktivieren, um unnötige Latenz für legitime Besucher zu vermeiden.
  • Benutzerdefinierte Seiten: Die 403-Seite (Sicherheitsblockierung) lässt sich an das eigene Branding anpassen. Siehe Benutzerdefinierte Seiten.