Включение и выключение WAF

kurgachel

New member
Добрый день!


Спасибо за модуль nemesida WAF free.


Я установил его на свой сервер для базовой WAF защиты своих клиентов и сразу возникли важные вопросы,


у меня свой маленький хостинг и на нем размещено около 100 сайтов. Я так понял, по умолчанию WAF сразу работает для всех сайтов, и только выключается


с помощью nwaf_host_lm example.ru, но у меня есть клиенты у которых множество поддоменов (сотни, как например городов), вроде tymen.example.ru и других, т.е я не могу полностью отключить WAF для всего домена, потому-что не могу охватить все поддомены, функция nwaf_host_lm *.example.ru; - не работает в таком виде. Включать для всех доменов нет смысла, сразу пошли жалобы и в error логе nginx куча заблокированных (ложно) запросов.


Вообщем суть вопроса следующая:


1. стоит ли ожидать работы функции в ввиде: nwaf_host_lm *.example.ru или может есть другой способ отключить домен и все его поддомены, не перечисляя все поддомены ?


2. стоит ли ожидать возможности включения модуля WAF для конкретных хостов, а не для всех сразу? Почему сейчас вы сделали так, чем это продиктовано? Боюсь что при ddos атаках на хосты с включенным WAF нагрузка будет гораздо выше, чем без него, и соответственно сервер упадет...
 

rr

Administrator
Здравствуйте,

Если вам необходимо исключить vhost(s) из обработки NW - лучше использовать директиву nwaf_host_wl - запрос будет полностью игнорироваться NW, в то время как директива nwaf_host_lm будет проводить полную обработку запроса, но без его блокирования.

--

>> есть другой способ отключить домен и все его поддомены, не перечисляя все поддомены
nwaf_host_wl *.example.com; - отключит обработку всех доменов и поддоменов

По сути nwaf_host_wl - это отключение NW для виртуальных хостов. Если нужно отключить NW для всех хостов - тогда можно сделать так - nwaf_host_wl *;

--

>> стоит ли ожидать возможности включения модуля WAF для конкретных хостов, а не для всех сразу? Почему сейчас вы сделали так, чем это продиктовано? Боюсь что при ddos атаках на хосты с включенным WAF нагрузка будет гораздо выше, чем без него, и соответственно сервер упадет...
Опять же, использование nwaf_host_wl *.example.com; полностью отключит обработку запросов модулем NW для основного домена example.com и всех поддоменов, то есть такие запросы не создадут нагрузки на NW.

Больше подробностей доступно в разделе https://waf.pentestit.ru/manuals/1304#tuning (блок Параметры nwaf.conf)
 
Top