التصفية حسب الـ IP¶
في قسم قوائم الـ IP لوحة تحكم Wallarm، يمكنك التحكم في الوصول إلى تطبيقاتك من خلال السماح وعدم السماح وتصفية القائمة الرمادية لعناوين الـ IP، والمواقع الجغرافية، ومراكز البيانات أو أنواع المصادر.
-
القائمة المسموح بها هي قائمة المصادر الموثوق بها التي تتجاوز حماية Wallarm وتصل إلى تطبيقاتك دون أي فحوصات.
-
القائمة المرفوضة هي قائمة المصادر التي لا يمكنها الوصول إلى تطبيقاتك - سيتم حظر جميع الطلبات القادمة منهم.
-
القائمة الرمادية هي قائمة المصادر المشبوهة التي يتم معالجتها من قبل العقدة فقط في وضع تصفية الحماية الآمنة كما يلي: إذا أصدر الـ IP الموجود في القائمة الرمادية طلبات ضارة، تحظر العقدة تلك الطلبات بينما تسمح بالطلبات المشروعة.
الطلبات الضارة الصادرة عن الـ IPs الموجودة في القائمة الرمادية هي تلك التي تحتوي على علامات للهجمات التالية:
كيفية العمل بين القائمة المسموح بها، والقائمة المرفوضة، والقائمة الرمادية¶
تعتمد العقدة التصفية طرق مختلفة بناءً على العملية الوضع المحددة لتحليل قوائم الـ IP. و في بعض الأحيان، يتم تقييم كل ثلاثة أنواع من قوائم الـ IPs، والتي تتضمن القوائم المسموح بها، والقوائم الممنوعة، والقوائم الرمادية. ومع ذلك، في وضعيات أخرى، يركز فقط على قوائم الـ IP المحددة.
توضح الصورة المقدمة أدناه بصريًا الأولويات والمجموعات من قوائم الـ IP في كل وضع عمل، مبرزة القوائم التي يتم النظر فيها في كل حالة:
يعني هذا أن:
-
في أي وضع، إذا تم العثور على الـ IP في القائمة الأولى، لا يتم اعتبار القائمة التالية.
-
القائمة الرمادية يتم النظر فيها فقط في وضع
Safe blocking.
الاستثناءات
إذا كان wallarm_acl_access_phase off، فإن العقدة Wallarm لا تقوم بتحليل القائمة المرفوضة في الوضع off ولا تحظر الطلبات من الـ IPs المرفوضة في الوضع Monitoring.
تكوين قوائم الـ IP¶
الخطوات:
-
قرر أي قائمة تستخدم تبعًا لغرضك.
-
حدد ما الذي سيتم إضافته: الـ IP، الشبكة الفرعية، الموقع، نوع المصدر.
-
إختر الوقت الذي سيبقى فيه العنصر في القائمة (عادة ليس إلى الأبد).
-
إحدود تطبيق الهدف (ليس جميع الطلبات، ولكن فقط تلك التي تستهدف تطبيق معين).
اختر العنصر¶
استخدم إضافة عنصر لإضافة العناصر التالية إلى أي من قوائم الـ IP:
-
الـ IP أو الشبكة الفرعية - الحد الأقصى المدعوم لقناع الشبكة الفرعية هو
/32لعناوين IPv6 و/12لعناوين IPv4. -
الموقع (الدولة أو المنطقة) لإضافة كافة عناوين الـ IP المسجلة في هذا البلد أو المنطقة
-
نوع المصدر لإضافة كافة عناوين الـ IP التي تنتمي إلى هذا النوع. الأنواع المتاحة هي:
- محركات البحث
- مراكز البيانات (AWS, GCP, Oracle, الخ.)
- المصادر المجهولة (Tor, Proxy, VPN)
- IPs سيئة النية
تعبئة قوائم الـ IP تلقائيًا
لاحظ أن المفضل هو تعبئة القائمة تلقائيًا، بالإضافة إلى إضافة العناصر يدويًا.
اختر الوقت للبقاء في القائمة¶
عند إضافة عنصر إلى القائمة، تحدد الوقت الذي سيتم إضافته فيه. الوقت الأدنى هو 5 دقائق، الافتراضي هو 1 ساعة، الأقصى هو إلى الأبد. عند انتهاء الوقت، يتم حذف العنصر تلقائيًا من القائمة.
يمكنك تغيير الوقت المحدد في أي لحظة في وقت لاحق - للقيام بذلك، في قائمة العنصر، انقر على تغيير الفترة الزمنية وقم بالتعديلات.
إعداد هذا الوقت بالإضافة إلى إضافة وحذف الكائنات يدويًا يؤدي إلى تغييرات في قوائم الـ IP مع مرور الوقت. يمكنك عرض الحالات التاريخية لجميع القوائم.
حدد التطبيق الهدف¶
عند إضافة عنصر إلى القائمة، سيتم معالجة جميع الطلبات من الـ IP المدرج بشكل افتراضي. ولكن يمكنك القيود على ذلك بواسطة التطبيقات الهدف: حدد تطبيق واحد أو عدة تطبيقات وسيتم معالجة الطلبات فقط من الـ IP المدرج إلى تلك التطبيقات فقط.
تغذيات الـ IP الضارة¶
عند إضافة نوع المصدر الـ IPs الضارة إلى واحدة من قوائم الـ IP، لاحظ أن هذا سيتضمن كل عناوين الـ IP التي تعرف جيدًا بسبب نشاطها الضار، كما هو مذكور في المصادر العامة، والتي تم التحقق منها عن طريق التحليل الخبير. نحن نسحب هذه البيانات من مجموعة مزيج من المصادر التالية:
تاريخ قائمة الـ IP¶
ليست لقوائم الـ IP فقط الحالة الحالية، ولكن أيضًا الحالة القديمة و هما مختلفتين. اختر تواريخ معينة لفحص محتوى قائمة الـ IP، وسوف يعود النظام بتاريخ تفصيلي للتغييرات، بما في ذلك توقيت و طريقة الإضافة، سواء كانت يدوية أو آلية. كما يوفر التقرير أيضا بيانات عن الأفراد المسؤولين عن التغييرات والأسباب التي تقف خلف كل إدراج. تساعد هذه النظرة في الحفاظ على سجل تدقيق للامتثال والتقارير.
العودة إلى علامة التبويب الآن للحصول على الحالة الحالية لقائمة الـ IP، مما يتيح لك عرض الكائنات المدرجة حاليًا في القائمة.
الترتيب التلقائي¶
يمكنك تمكين Wallarm لرفض أو تصفية عناوين الـ IP تلقائيًا إذا أنتجت بعض حركة المرور المشبوهة. يمكن القيام بذلك عن طريق:
لاحظ أنه إذا قمت بحذف الـ IP المدرج تلقائيًا يدويًا، إذا تم اكتشاف نشاط ضار جديد فسيتم إضافته تلقائيًا مرة أخرى ولكن:
-
ليس قبل نصف الفترة الزمنية السابقة
على سبيل المثال، إذا تم رفض الـ IP تلقائيًا لمدة 4 ساعات بسبب هجوم BOLA منه وأنت تحذفه من القائمة المرفوضة، فلن يتم إضافته مرة أخرى في الساعتين التاليتين، حتى في حالة وقوع هجمات.
-
لـ ** منع استخدام API بشكل سيئ ** - فورًا
الحصول على إخطارات حول الـ IPs المرفوضة¶
يمكنك الحصول على إشعارات حول الـ IPs المرفوضة حديثًا عبر المراسلات أو أنظمة SIEM التي تستخدمها كل يوم. لتمكين الإشعارات، في قسم المشغلات، قم بتكوين واحد أو عدة مشغلات بشرط الـ IP المرفوض، مثال:
لإختبار المشغل:
-
اذهب إلى لوحة تحكم Wallarm → التكاملات في الولايات المتحدة أو الاتحاد الأوروبي الغيم، و قم بتهيئة التكامل مع Slack.
-
في المشغلات، إنشاء المشغل كما هو مبين أعلاه.
-
اذهب الى قوائم الـ IP → القائمة المرفوضة وأضف الـ IP
1.1.1.1مع سبب "إنه بوت ضار". -
تحقق من الرسائل في قناتك بالسلاك مثل:
[wallarm] تم رفض آي بي جديد نوع الإشعار: ip_blocked تم رفض العنوان IP 1.1.1.1 حتى 2024-01-19 15:02:16 +0300 للسبب "إنه بوت ضار". يمكنك مراجعة العناوين IP المرفوضة في قسم "قوائم الـ IP→ القائمة المرفوضة" لوحة تحكم Wallarm. تم تفعيل هذا الاشعار من خلال المشغل "إشعار بشأن الـ IPs المرفوضة الجديدة". وتم حظر الـ IP لتطبيق الإعدادات الإفتراضية. العميل: Your Company الغيم: EU
تكوين العقد وراء حماة الحمل و CDNs للعمل مع قوائم الـ IP¶
إذا كانت العقدة Wallarm تقع وراء حماة الحمل والـ CDN، يرجى التأكد من تكوين عقدتك Wallarm للإبلاغ بشكل صحيح عن عناوين الـ IP للمستخدمين النهائيين:
-
تعليمات لعقد Wallarm القائمة على NGINX (بما في ذلك الصور التعاونية Amazon AWS / Google Cloud Platform و حاويات Docker node)
-
تعليمات للعقد التصفية المنشرة كمُرشد حرافي Wallarm ل Kubernetes
إدارة القوائم عبر الـ API.¶
يمكنك الحصول على محتوى أي قائمة IP، وتعبئتها بالكائنات وحذف الكائنات منها من خلال إستدعاء واجهة برمجة التطبيقات API مباشرة.