Sicherheit & WAF
smoxy enthält eine integrierte Web Application Firewall (WAF) und Sicherheitsschicht, die Zonen vor bösartigem Traffic schützt. Das Sicherheitsmodul arbeitet auf der Proxy-Ebene und funktioniert unabhängig vom CDN - eine CDN-Aktivierung ist für die Nutzung der Sicherheitsfunktionen nicht erforderlich. Die Sicherheitsprüfung passiert vor Caching und Origin-Abruf — wo sie im Anfrageablauf steht, zeigt der Lebenszyklus einer Anfrage.


Überblick
Das Sicherheitssystem von smoxy bietet mehrere Schutzebenen:
| Ebene | Beschreibung |
|---|---|
| WAF | Erkennt und blockiert automatisch bösartige Anfragen |
| Verwaltete Szenarien | Kuratierte Erkennungsszenarien, die smoxy für die Zone pflegt und aktualisiert |
| Access Rules | Eigene Regeln, die definiert werden, um Traffic basierend auf Bedingungen zu erlauben, zu blockieren oder per Challenge zu prüfen |
| Basic Auth | Die Zone oder bestimmte Seiten mit HTTP-Basic-Authentication per Passwort schützen |
| Under Attack Mode | Notfallmodus mit zusätzlichem Schutz bei aktiven Angriffen |
Sicherheit aktivieren
Sicherheit wird pro Zone konfiguriert und erfordert, dass die Proxy-Funktion aktiv ist.
- Zur Zone in smoxy navigieren
- WAF-Einstellungen öffnen
- Schalter Web Application Firewall aktivieren
- Speichern
INFO
Hinweis: Sicherheit erfordert, dass der Proxy auf der Zone aktiviert ist. Wenn der Proxy deaktiviert ist, wird die Sicherheit automatisch ebenfalls deaktiviert.
WAF (Web Application Firewall)
Wenn Sicherheit aktiviert ist, prüft die WAF von smoxy automatisch eingehende Anfragen und blockiert solche, die bekannten bösartigen Mustern entsprechen.
Die WAF ist so konzipiert, dass sie für alle Zonen sicher aktiviert werden kann. Sie zielt auf eindeutig bösartigen Traffic ab, ohne legitime Besucher zu beeinträchtigen. Eine Konfiguration einzelner WAF-Regeln ist nicht erforderlich - smoxy verwaltet das Regelwerk automatisch.
Wovor die WAF schützt
Die WAF bietet Schutz gegen häufige Webangriffe und bösartige Anfragemuster. Die spezifischen Regeln werden von smoxy verwaltet und kontinuierlich aktualisiert, um auf sich entwickelnde Bedrohungen zu reagieren.
Benutzerdefinierte Sicherheitsseite
Wenn die WAF eine Anfrage blockiert, sieht der Besucher in der Regel eine 403 Forbidden-Antwort. Diese Seite lässt sich an das eigene Branding anpassen. Siehe Benutzerdefinierte Seiten für Details zum Upload einer benutzerdefinierten Sicherheitsseite.
Verwaltete Sicherheitsszenarien
Zusätzlich zur WAF pflegt smoxy eine kuratierte Sammlung von Sicherheitsszenarien - Erkennungsregeln, die den Live-Traffic auf bestimmtes Angriffsverhalten überwachen. smoxy ergänzt neue Szenarien und justiert bestehende automatisch, während sich Bedrohungen weiterentwickeln, sodass der Schutz ohne manuellen Aufwand aktuell bleibt.
Was Szenarien erkennen
Szenarien zielen auf eindeutig bösartiges Verhalten wie Credential Stuffing, Pfad- und Schwachstellen-Scans sowie automatisierte Bot-Angriffe. Jedes Szenario wird von smoxy geschrieben und gepflegt - eigene Erstellung oder Konfiguration ist nicht nötig.
Standardmäßig aktiv
Die meisten verwalteten Szenarien sind standardmäßig aktiv, einige jedoch optional (Opt-in). Ein Eingreifen ist nur nötig, um ein einzelnes Szenario zu ändern.
Szenarien einsehen
Auf der WAF-Seite der Zone listet die Karte Von smoxy verwaltete Szenarien die Szenarien, die die Zone schützen. Ein Klick auf Szenarien verwalten öffnet die Liste - jeder Eintrag zeigt den Namen, eine kurze Beschreibung und einen Ein/Aus-Schalter für den aktuellen Status in dieser Zone.


Ein Szenario deaktivieren
Den Schalter eines Szenarios auf Aus stellen, um es für diese Zone zu deaktivieren, oder wieder auf Ein, um es zu reaktivieren. Änderungen gelten pro Zone und greifen kurz darauf automatisch am Edge.
Wann deaktivieren
Für die meisten Zonen sollten alle Szenarien aktiv bleiben. Eine Deaktivierung empfiehlt sich nur, wenn ein bestimmtes Szenario falsch-positive Treffer für die eigene Anwendung verursacht - wobei das Deaktivieren eines Szenarios den Schutz reduziert. Im Zweifel vor dem Deaktivieren den Support kontaktieren.
INFO
Hinweis: Szenario-Deaktivierungen gelten unabhängig pro Zone und wirken sich nicht auf den WAF-Schalter aus. Das Deaktivieren eines Szenarios schaltet die WAF nicht ab und umgekehrt.
Verhältnis zu WAF und Access Rules
Verwaltete Szenarien sind eine zusätzliche, von smoxy gepflegte Erkennungsebene, die parallel zur WAF arbeitet. Access Rules bleiben das eigene Werkzeug, um Traffic anhand selbst definierter Bedingungen zu erlauben, zu blockieren oder per Challenge zu prüfen.
Access Rules
Access Rules bieten feingranulare Kontrolle darüber, welcher Traffic erlaubt, blockiert oder per Challenge geprüft wird. Es lassen sich Regeln erstellen, die auf Anfrageeigenschaften wie IP-Adresse, Land, User Agent, URL-Pfad und mehr abgleichen - und dann wählen, ob der übereinstimmende Traffic erlaubt, blockiert oder per Challenge geprüft wird, oder ob Sicherheitsprüfungen übersprungen werden sollen.
Access Rules werden nach den Zonen- und globalen IP-Listen, aber vor den Szenario- und WAF-Prüfungen ausgewertet — die genaue Reihenfolge zeigt der Lebenszyklus einer Anfrage. Das macht sie ideal für eigene Allow-/Deny-Richtlinien oberhalb der Vertrauenslisten.
Die vollständige Anleitung zum Erstellen und Verwalten von Access Rules - einschließlich aller verfügbaren Bedingungen, Operatoren und detaillierter Beispiele - findet sich unter Access Rules.
Basic Auth
Basic Auth fügt HTTP-Basic-Authentication zur Zone hinzu und erfordert, dass Besucher einen Benutzernamen und ein Passwort eingeben, bevor sie auf Inhalte zugreifen können. Dies ist nützlich zum Schutz von Staging-Umgebungen, internen Tools oder zur Zugriffsbeschränkung während der Entwicklung.
Benutzer verwalten
Basic-Auth-Benutzer werden pro Zone verwaltet. Jeder Benutzer hat einen Benutzernamen, ein Passwort und einen optionalen Kommentar.


Benutzernamenregeln: Muss mit einem Buchstaben beginnen, darf nur alphanumerische Zeichen, Bindestriche und Unterstriche enthalten und darf nicht mit einem Bindestrich oder Unterstrich enden.
Passwortregeln: Mindestens 8 Zeichen.
Basic Auth aktivieren
Auf der Basic-Auth-Seite der Zone den Schalter Schutz aktivieren einschalten. Sobald aktiviert, müssen Besucher sich mit einem der Zugangsdaten aus der Liste Autorisierte Benutzer authentifizieren, bevor sie auf die Zone zugreifen können. In den Organisationseinstellungen konfigurierte IP-Whitelists können die Authentifizierung umgehen.
Pro-Regel-Überschreibungen
Für feinere Kontrolle enthalten Conditional Rules eine Basic Auth-Einstellung, die Basic Auth für Anfragen überschreibt, die auf die Regel zutreffen. Sie bietet drei Modi:
| Modus | Beschreibung |
|---|---|
| Deaktiviert | Keine Authentifizierung für zutreffende Anfragen erforderlich |
| Alle Benutzer | Jeder autorisierte Benutzer kann auf zutreffende Anfragen zugreifen |
| Bestimmte Benutzer | Nur ausgewählte autorisierte Benutzer können auf zutreffende Anfragen zugreifen |
Das ermöglicht:
- Nur bestimmte URL-Pfade schützen (z. B.
/admin) - Authentifizierung nur aus bestimmten IP-Bereichen verlangen
- Authentifizierung für vertrauenswürdige IPs umgehen, während sie für alle anderen erforderlich ist
Under Attack Mode
Der Under Attack Mode ist eine Notfalleinstellung für den Fall, dass die Zone einem aktiven DDoS-Angriff oder ungewöhnlich hohem bösartigem Traffic-Aufkommen ausgesetzt ist.
Wenn aktiviert, wendet smoxy aggressivere Sicherheitsprüfungen auf alle eingehenden Anfragen an. Dies kann eine kurze Verzögerung für legitime Besucher verursachen, während sie die zusätzliche Verifizierung durchlaufen, reduziert aber die Auswirkungen des Angriffsverkehrs erheblich.


Wann verwenden
- Die Zone ist von einem DDoS-Angriff betroffen
- Ein plötzlicher Anstieg bei blockierten oder per Challenge geprüften Anfragen ist sichtbar
- Der Origin-Server steht unter hoher Last durch bösartigen Traffic
Wann deaktivieren
Den Under Attack Mode abschalten, sobald der Angriff abklingt. Die zusätzliche Verifizierung fügt eine leichte Latenz für alle Besucher hinzu, daher sollte er nur während Vorfällen aktiv sein.
Wichtige Hinweise
- Sicher zu aktivieren: Die WAF ist für eine breite Aktivierung ausgelegt. Sie zielt auf bösartige Muster ab, ohne legitimen Traffic zu beeinträchtigen, wodurch sie für alle Zonen sicher aktiviert werden kann.
- Proxy erforderlich: Sicherheitsfunktionen erfordern, dass der Proxy aktiviert ist. Ohne Proxy wird die Sicherheit automatisch deaktiviert.
- CDN nicht erforderlich: Sicherheit arbeitet auf der Proxy-Ebene und funktioniert unabhängig vom CDN. Sicherheitsfunktionen lassen sich nutzen, ohne CDN für die Hostnamen zu aktivieren.
- Regelreihenfolge beachten: Access Rules werden der Reihe nach verarbeitet. Spezifischste Regeln zuerst platzieren und das Stop-Flag verwenden, um unnötige Regelauswertung zu vermeiden.
- Skip-Regeln für APIs: Bei API-Endpunkten, die ungewöhnliche Payloads verarbeiten (Code-Snippets, Binärdaten), empfiehlt sich das Hinzufügen von Skip-Regeln, um falsch-positive WAF-Blockierungen zu vermeiden.
- Under Attack Mode ist temporär: Den Under Attack Mode nur während aktiver Angriffe aktivieren. Bei Normalisierung der Situation deaktivieren, um unnötige Latenz für legitime Besucher zu vermeiden.
- Benutzerdefinierte Seiten: Die 403-Seite (Sicherheitsblockierung) lässt sich an das eigene Branding anpassen. Siehe Benutzerdefinierte Seiten.
