Network Lists
Network Lists é um recurso do Network Layer Protection, um módulo do Edge Firewall. Com o Netwotk Lists, você pode criar e gerenciar allowlists, blocklists e até mesmo greylists, com base na rede, endereço de IP, geolocalização do usuário e Autonomous System Number (ASN). Com esse recurso, é possível prevenir diversos tipos de ataques à sua rede, bem como impedir que usuários mal-intencionados tenham acesso a suas aplicações.
Use listas de bloqueio para monitorar comportamentos suspeitos, criar regras inteligentes e aplicar restrições a atividades maliciosas, bloqueando ou limitando o acesso e protegendo o tráfego, tanto de entrada quanto de saída, de seus aplicativos na camada de rede. Você também pode criar listas de permissões em caso de bloqueio de acesso interno, testes e falsos positivos.
Network Lists funcionam associadas ao Rules Engine para Edge Firewall por meio de regras de restrições por IPs, Autonomous System Number (ASN) ou geolocalização, mitigando riscos de segurança e otimizando o desempenho de seus recursos. Sempre que uma Network List for associada a uma regra, ela é comparada com o endereço IP do cliente que está realizando a requisição HTTP, levando em consideração os operadores de comparação configurados na regra do Rules Engine para Edge Firewall.
Implementação
Escopo | Fonte |
---|---|
Network Lists | Como criar blocklists de endereços IP no Edge com Network Lists e Network Layer Protection |
Como Network Lists funcionam
Network Layer Protection utiliza uma série de listas mantidas pelo próprio usuário, ou pela Azion. Essas listas podem ser atualizadas manualmente pelo Azion Console ou através da API da Azion. Quando uma requisição chega a um edge node da Azion, ela é avaliada. Caso atenda aos critérios definidos no Rule Set desse edge node, as listas configuradas são consultadas, filtrando, assim, os infratores conhecidos antes mesmo da requisição chegar à infraestrutura do cliente.
Ao ativar o módulo dentro de um Edge Firewall, as criteria Network
e os behaviors Deny
, Drop
e Set Rate Limit Behaviors
ficam disponíveis nas configurações do Rules Engine do Edge Firewall. Isto permite ao cliente definir em quais condições (criteria) as listas serão consultadas e quais comandos (behaviors) serão executados.
Pré-requisitos
Para criar e gerenciar network lists, você precisa ter uma configuração de Edge Firewall com o módulo Network Layer Protection ativado.
Criar network listsTipos de Network Lists
Tipo | Descrição |
---|---|
IP/CIDR | Corresponde a uma lista de endereços IP ou CIDR, devendo ser preenchido um endereço por linha. Se preferir, informe também a máscara de sub-rede dos endereços IP |
ASN | Autonomous System Number (ASN) corresponde a um grupo de redes de endereços IP gerenciado por um ou mais operadores de rede que têm uma clara e única política de roteamento. Consultando o serviço de ASN Whois da LACNIC, o ASN da Azion, por exemplo, é AS52580 . Escolha o tipo ASN para representar uma lista de grupos AS, devendo ser preenchido um endereço por linha, somente o número sem prefixo |
Countries | Corresponde a uma lista de países. Para incluir países na lista, selecione os itens na aba Available Countries e mova para a aba Chosen Countries |
Depois de criar uma Network List, associe-a a uma ou mais Edge Firewall Rules Sets que tenham o módulo Network Layer Protection ativado.
Para proporcionar ainda mais agilidade aos seus processos, a Azion provê e mantém algumas Network Lists atualizadas automaticamente e prontas para usar. Uma delas é a Network List Azion IP Tor Exit Nodes, que contém os endereços IP de saídas da rede Tor e poderá ser utilizada em uma ou mais Rules, por meio do da condição (criteria) Network, de acordo com as necessidades do seu negócio.
Consulte o guia bloquear redes TorComentário e data em listas IP/CIDR
Ao usar uma lista de rede IP/CIDR, você pode adicionar um comentário e uma data de vencimento em uma linha. Isso permite que você forneça descrições sobre itens específicos que você adiciona ou não deseja mais usar e defina datas de vencimento para itens específicos. O comentário e a data de vencimento são limitados à linha em que estão. Uma vez que você muda de linhas, precisa escrever novas.
O caractere #
indica o início de um comentário. Por exemplo: 192.168.0.1 #comentário
.
O caractere --LT
indica o início da data de vencimento. Por exemplo: 192.168.0.1 --LT2023-03-27T17:38:47Z
.
Também é possível combinar ambas as funcionalidades: 192.168.0.1 --LT2023-03-27T17:38:47Z #comentário
.
Se você adicionar uma tag no início da linha, será como se a linha estivesse obsoleta. Por exemplo: #comentário 192.168.0.1
.