Ir para o conteúdo

Segurança

Geral

Nessa área é possível configurar o funcionamento do WAF (Web Application Firewall) que é um serviço que protege a sua infraestrutura web contra vulnerabilidades.

Web Application Firewall

waf

Habilitar essa função faz com que o WAF filtre todos os acessos ao site ou recurso web, buscando padrões para identificar as principais ameaças listadas pela OWASP.

Nível de Segurança

É possível configurar o quão rigoroso é a análise do WAF para a tomada de ações. Um nível baixo de segurança é mais permissivo com relação à classificação de ameaças. No nível alto a critério é mais restritivo.

Os niveis do WAF são baseados em pontuação, quanto mais alto o nível do WAF, menos pontos são necessários para a requisição ser bloqueada

A pontuação é definida com base na requisição que foi feita ao site protegido, quanto mais perigosa uma requisição for considerada, mais pontos ela contabiliza no WAF.

O nível alto é o mais severo de todos, necessitando de menos pontos, e conforme o nível do WAF seja diminuído, o número de pontos que um acessante pode ter sem ser bloqueado é aumentado

É importante ressaltar que existem alguns métodos de ataque são bloqueados independente do nível e pontuação

Modo de Segurança

Define a ação que o WAF vai realizar caso identifique alguma ameaça. Lembrando que toda ação gera um evento na área Eventos. As ações que podem ser tomadas são:

  • Bloquear: O acesso será bloqueado e uma página de erro é exibida.
  • Simular: Será gerado apenas um evento de segurança, mas nenhuma ação será tomada.
  • Desafiar: Será exibida uma página com um desafio (recaptcha) para que o visitante prove ser um humano.

Expiração do Desafio

expiration_challenge

Essa opção determina por quanto tempo um visitante tem permissão para acessar seu site, após passar por um desafio (recaptcha), o tempo vai de 5 minutos a até 1 ano.

Caso queira forçar que um visitante sempre passe por um desafio quando o WAF ou alguma regra de Firewall estiver configurada para Desafiar, selecione a opção Cookies desabilitados.

É recomendado, que após desabilitar os cookies, utilize a opção Expirar permissões para revogar o acesso dos visitantes que cumpriram com sucesso um desafio.