Ga naar inhoud

De WAF configureren en regels beheren

De Web Application Firewall (WAF) van Shield inspecteert binnenkomende requests naar je site en blokkeert, daagt uit of logt verkeer dat overeenkomt met bekende aanvalspatronen. Deze gids behandelt het inschakelen van de WAF, het kiezen hoe streng hij draait, het afstemmen van de ingebouwde Managed Rules en het maken van je eigen Custom Rules — allemaal vanuit het sitedashboard.

Voordat je begint

  • Een site met Shield inbegrepen in het abonnement. Als Shield geen deel uitmaakt van je abonnement, tonen de Shield-pagina's een kaart "not included in your plan" in plaats van de onderstaande instellingen.
  • Shield moet geactiveerd zijn voor de site. Als dat nog niet gebeurd is, toont de WAF-pagina een bericht "Shield isn't active for this site" met een knop Activate Shield — activeer het eerst.
  • Een paar instellingen zijn beperkt tot het premium Shield-niveau (hieronder inline aangegeven): Realtime Threat Intelligence en het maken van Custom Rules.

De WAF-pagina openen

  1. Open je site en kies vervolgens in de linkerzijbalk Shield.

  2. Selecteer het WAF-tabblad. De subnavigatie van Shield loopt over de bovenkant: Overview, WAF, Bot Detection, Rate Limits, Access Lists en Security Events. Kies WAF.

De WAF-pagina is bovenaan ingedeeld in instellingenkaarten (WAF Settings, Rule sensitivity, Protocols), met daaronder een kaart met twee tabbladen: Managed Rules en Custom Rules.

De WAF inschakelen en een modus kiezen

Op de kaart WAF Settings:

  1. Zet WAF enabled aan of uit om de firewall voor deze site in of uit te schakelen.

  2. Kies een Execution mode. Dit is een keuze uit twee opties:

    • Log only — legt regelmatches vast zonder verkeer te blokkeren.
    • Block — laat overeenkomende requests actief vallen.

    Tip

    Begin met Log only, bekijk het Security Events-logboek om te zien wat zou worden geblokkeerd, en schakel over naar Block zodra je er zeker van bent dat de regels geen legitiem verkeer pakken.

  3. Stel de body-limit-acties in (optioneel). Request body limit action en Response body limit action laten je elk Block, Log of Ignore kiezen voor requests/responses waarvan de body de inspectielimiet overschrijdt.

  4. Kies wat je wilt loggen (optioneel). Log request headers en Log request body zijn onafhankelijke schakelaars die die gegevens toevoegen aan de records van overeenkomende requests.

  5. Sluit specifieke headers uit (optioneel). Typ onder Excluded request headers een headernaam en druk op Enter of komma (of klik op Add) om hem als chip toe te voegen. Vermelde headers worden tijdens de WAF-inspectie overgeslagen.

  6. Realtime Threat Intelligence (premium). Wanneer beschikbaar, zet je hem aan om automatisch bekende kwaadaardige IP's en requestpatronen te blokkeren. Op niet-premium abonnementen is deze schakelaar uitgeschakeld en gelabeld als Available on the Premium Shield plan.

  7. Klik op Save settings.

De regelgevoeligheid afstemmen

De kaart Rule sensitivity bepaalt hoe agressief de WAF requests markeert. Kies een voorinstellingskaart — Low, Medium, High of Extreme — of kies Custom om het Detection level, Blocking level en Execution level onafhankelijk in te stellen (elk op een schaal van 1–4). Medium is het aanbevolen startpunt. Klik op Save sensitivity wanneer je klaar bent.

Warning

Hogere gevoeligheid (vooral Extreme) verhoogt het aantal valse positieven. Stem af in de modus Log only voordat je hem in de modus Block draait.

Protocollen beperken

Met de kaart Protocols kun je selecteren welke HTTP-versies, methoden en request-content-types je applicatie accepteert. Klik op de chips om elke optie in of uit te schakelen; in elke groep moet ten minste één optie geselecteerd blijven. Klik op Save protocols om toe te passen.

De Managed Rules afstemmen

Managed Rules zijn de samengestelde WAF-regelgroepen van SuperSpace. Je schrijft deze niet zelf — je bepaalt hoe elke groep zich gedraagt.

  1. Open het tabblad Managed Rules op de onderste kaart. De regelgroepen laden en verschijnen als uitklapbare secties; elke sectie toont hoeveel van zijn regels actief zijn.

  2. Filter indien nodig. Gebruik het vak Filter rules by name… om de lijst te versmallen.

  3. Stel per regel een status in. Vouw een groep uit en gebruik de besturing per regel om een van drie statussen te kiezen:

    • Active — de regel blokkeert (of daagt) overeenkomende requests normaal.
    • Log only — de regel legt matches vast maar blokkeert niet.
    • Disabled — de regel is volledig uitgeschakeld.

  4. Klik op Save rule overrides. Wijzigingen worden in één request toegepast op de hele regelset.

Tip

Als een managed regel legitiem verkeer blokkeert, zet hem dan op Log only in plaats van Disabled, zodat je zicht houdt op wat hij zou pakken.

Een aangepaste regel maken

Met Custom Rules kun je requests die voldoen aan voorwaarden die je zelf definieert blokkeren, uitdagen, loggen, toelaten of omzeilen.

Premiumfunctie

Het maken van nieuwe aangepaste regels vereist het premium Shield-niveau. Op een niet-premium abonnement blijven bestaande aangepaste regels in de lijst staan en bewerkbaar/verwijderbaar, maar de knop + New custom rule wordt vervangen door een upgradelink.

  1. Open het tabblad Custom Rules op de onderste kaart.

  2. Klik op + New custom rule.

  3. Vul de regel in:

    • Rule name (verplicht) — bijv. Block bad bots.
    • Description (optioneel) — waartegen de regel beschermt.
    • ActionBlock, Log, Challenge, Allow of Bypass. Block laat de request vallen; Challenge presenteert een browserverificatie; Log legt vast zonder te blokkeren; Allow omzeilt andere WAF-regels; Bypass slaat alle WAF-verwerking over.

  4. Definieer de Condition:

    • Match on — het requestattribuut om te inspecteren (bijv. REQUEST_URI, REQUEST_HEADERS, REMOTE_ADDR, QUERY_STRING, REQUEST_BODY).
    • Sub-selector — voor REQUEST_HEADERS de headernaam (bijv. User-Agent); laat leeg voor variabelen die geen sub-selector hebben.
    • Operator — hoe te vergelijken, zoals Contains, Equals (exact), Begins with, Ends with, Regex, Detect SQLi of Detect XSS.
    • Value — de string om mee te vergelijken (bijv. bad-bot-agent).
    • SeverityNotice, Warning of Critical.

  5. Klik op Save rule. De regel verschijnt in de Custom Rules-tabel, waar je hem later kunt Edit of Delete. Verwijderen vraagt om een bevestiging.

Dezelfde bewerkingen zijn beschikbaar via de REST API. Maak een aangepaste regel met:

curl -X POST \
  -H "Authorization: Bearer $SUPERSPACE_TOKEN" \
  -H "X-Auth-Account: $ACCOUNT_ID" \
  -H "Content-Type: application/json" \
  -d '{
    "rule_name": "Block bad bots",
    "rule_configuration": {
      "action_type": 1,
      "variable_type": "REQUEST_HEADERS",
      "variable_subselector": "User-Agent",
      "operator_type": 2,
      "severity_type": 1,
      "value": "bad-bot-agent"
    }
  }' \
  https://control.superspace.nl/api/sites/$SITE_ID/shield/waf_custom_rules

action_type: 1=Block, 2=Log, 3=Challenge, 4=Allow, 5=Bypass. severity_type: 0=Notice, 1=Warning, 2=Critical. Zie Shield API voor de volledige WAF-, managed-rule- en custom-rule-endpoints.

Volgende stappen