HTTPプロファイル

HTTPプロファイルは、ブルートフォース防御など、HTTPタイプおよびHTTPSタイプのセキュリティサービス用のHTTPプロトコルに固有の一連の保護メカニズムを提供します。

HTTPプロファイルは、セキュリティサービスに適用された場合にのみ有効になります。

ブルートフォースディフェンス Brute Force Defense

攻撃説明

ブルートフォースは、攻撃者が正しいログイン情報を見つけるまで、考えられるすべてのログイン認証情報を試行する攻撃の一種です。 総当たり攻撃を利用することで、攻撃者はサイトのアクセス権を獲得し、デジタル資産を盗み、悪意を持ってサイトを危険にさらし、悪意のあるマルウェアを配布できます。

ブルートフォースが成功しなくても、サーバーリソースと帯域幅が消費され、サイトのパフォーマンスが低下したり、サイトが外部サービスを提供できなくなったりします。

防御機能

  • HTTPプロファイルによって提供されるセキュリティメカニズムであり、ブルートフォース攻撃から顧客のサイトを効果的に保護できます。 すべてのHTTPプロファイルは、最大5つのログインページに対してブルートフォース防御を提供できます。
  • ソースIPログイン検証ルールとグローバルログインレート制限ルールをサポートします。
     クライアントがチェック期間内に指定されたログインページにログインできなかった回数がソースIP検証ルールで設定された閾値を超えると、システムは一定期間クライアントのログインをブロックします。 1分間に指定されたログインページでのログイン試行回数がグローバルログインレート制限ルールで設定されたしきい値を超えると、システムは後続のログイン試行要求を拒否します。
  • 管理者は、すべてのログインページの複数のログイン成功サインとログイン失敗サインをカスタマイズできます。
  • システムは、HTTP応答ステータスコード、応答ヘッダー、および応答Cookie名をログイン成功サインとして使用し、HTTP応答ステータスコードと応答ヘッダーをログイン失敗サインとして使用することをサポートしています。
  • ログイン要求がすべてのログイン成功サインに一致しないか、ログイン失敗サインに一致しない場合、システムはこのログインを失敗と判断します。

ASFでの操作

指定したHTTPプロファイルのブルートフォース防御機能を有効にします。