Cloudflare рассказала о запуске брандмауэра Firewall Rules

Cloudflare сообщила в своём блоге о запуске брандмауэра Firewall Rules. Он позволяет задавать правила для IP-адресов, бесклассовой адресации, стандарта ASN, страны пользователя, блокировки части HTTP-запроса user-agent, разрешения использовать ресурсы трафика только с определённых IP-адресов (Zone Lockdown).

Возможности брандмауэра

После общения с клиентами, специалисты Cloudflare выделили несколько моментов, которые и постарались учесть в разработке брандмауэр. По их мнению, Firewall Rules должен предоставлять возможность выбора нескольких правил с частичным соответствием заданных для них параметров, например: User-Agent: *Firefox*.

При этом клиент сможет постоянно контролировать службы при помощи пользовательского интерфейса или Cloudflare API.

Составляющие Firewall Rules

Конфигурацию правил можно задать как при помощи API, так и с помощью инструмента Terraform. Модуль брандмауэра состоит из двух компонентов.

• Распознавание: определение правила. Правила предоставляют пользователям доступ к свойствам HTTP-запроса. Заголовки запроса сравниваются по нескольким операторам, в числе которых частичное (contains) и полное (equals) совпадение, а также функция сопоставления по образцу (matches). Последняя позволяет использовать регулярные выражения и доступна для частных предприятий и организаций.
• Действие: выбор действий для выполнения запроса. Доступны 3 действия: JS-проверка, проверка и блокировка. Помимо этого, к стандартным решениям добавили allow, создающее условие с запретом выполнения дальнейших правил при соответствии определённого параметра.

Положительная и негативная модели безопасности

Первая модель предполагает разрешает специальные запросы и отклоняет остальные, вторая — напротив, запрещает специальные и разрешает любые другие. По умолчанию Firewall Rules разрешает любой запрос. Противоположная этой политика «Zero Trust» блокирует любой запрос.

Инструменты Visual Rule Builder and Expression Editor

Первый инструмент даёт возможность создавать проактивные защитные правила для приложений и правила реагирования для уже атакованных приложений. Затем их можно группировать в визуальном редакторе.

Более сложные требования можно написать с помощью инструмента Rule Editor. Пользователь пишет выражения на языке программы Wireshark и на их основе задаёт правила брандмауэра.

В конце сентября 2018 года Cloudflare запустила собственный регистратор доменных имён. Компания объявила о регистрации доменов без наценки, при этом в предложение включены двухфакторная аутентификация, предоставление бесплатного SSL-сертификата и набор расширений DNSSEC.