Gyakori kérdések az Azure Web Application Firewallhoz az Azure Front Door Service-ben

Az Azure WAF egy webalkalmazási tűzfal, amely segít megvédeni a webalkalmazásokat az olyan gyakori fenyegetésektől, mint az SQL-injektálás, a helyek közötti szkriptelés és más webes biztonsági rések. A webalkalmazásokhoz való hozzáférés szabályozásához egyéni és felügyelt szabályok kombinációjából álló WAF-szabályzatot határozhat meg.

Azure WAF-szabályzat alkalmazható az Application Gatewayen vagy az Azure Front Doorson üzemeltetett webalkalmazásokra.

Az Azure Front Door egy nagymértékben skálázható, globálisan elosztott alkalmazás- és tartalomkézbesítési hálózat. Az Azure WAF a Front Doorba integrálva leállítja a szolgáltatásmegtagadást és a célzott alkalmazástámadásokat az Azure hálózati peremhálózatán, közel a támadási forrásokhoz, mielőtt belépnek a virtuális hálózatba, a teljesítmény feláldozása nélkül nyújt védelmet.

A Front Door TLS-kiszervezést kínál. A WAF natív módon integrálva van a Front Doorral, és a visszafejtés után megvizsgálhat egy kérést.

Igen. Az IPv4 és az IPv6 IP-korlátozását konfigurálhatja. További információ: IPv6-bevezetés: Az Azure WAF fejlesztése a Front Dooron.

Megteszünk mindenünkkel, hogy lépést tartsunk a veszélyforrások helyzetének változásával. Az új szabály frissítését követően a rendszer hozzáadja az alapértelmezett szabálykészlethez egy új verziószámmal.

A LEGTÖBB WAF-házirend üzembe helyezése 20 perc alatt befejeződik. A szabályzat várhatóan azonnal érvénybe lép, amint a frissítés az összes peremhálózati helyen globálisan befejeződik.

A Front Doorba integrálva a WAF globális erőforrás. Ugyanez a konfiguráció minden Front Door-helyen érvényes.

Konfigurálhatja az IP-hozzáférés-vezérlési listát a háttérrendszerben, hogy csak a Front Door kimenő IP-címtartományait engedélyezze az Azure Front Door szolgáltatáscímkéje használatával, és megtagadja az internetről való közvetlen hozzáférést. A szolgáltatáscímkéket a virtuális hálózaton is használhatja. Emellett ellenőrizheti, hogy az X-Forwarded-Host HTTP fejlécmező érvényes-e a webalkalmazásra.

WAF-szabályzatok az Azure-ban való alkalmazásakor két lehetőség közül választhat. A WAF és az Azure Front Door egy globálisan elosztott peremhálózati biztonsági megoldás. Az Application Gatewayrel rendelkező WAF egy regionális, dedikált megoldás. Javasoljuk, hogy az általános teljesítmény- és biztonsági követelményeknek megfelelő megoldást válasszon. További információ: Terheléselosztás az Azure alkalmazáskézbesítési csomagjával.

Ha egy meglévő alkalmazásban engedélyezi a WAF-ot, gyakori, hogy hamis pozitív észlelések vannak, amelyekben a WAF-szabályok fenyegetésként észlelik a jogos forgalmat. A felhasználókra gyakorolt hatás kockázatának minimalizálása érdekében a következő folyamatot javasoljuk:

• Engedélyezze a WAF észlelési módban , hogy a WAF ne tiltsa le a kéréseket a folyamat során. Ez a lépés tesztelési célokra ajánlott a WAF-en.

  Fontos

  Ez a folyamat azt ismerteti, hogyan engedélyezheti a WAF-ot egy új vagy meglévő megoldáson, ha a prioritása az alkalmazás felhasználóinak zavarainak minimalizálása. Ha támadás vagy közvetlen veszély fenyegeti, érdemes lehet azonnal üzembe helyeznie a WAF-ot megelőzési módban, és a hangolási folyamat használatával monitorozhatja és hangolhatja a WAF-ot. Ez valószínűleg néhány jogos forgalmat blokkolni fog, ezért csak akkor javasoljuk ezt, ha veszélyben van.

• Kövesse útmutatásunkat a WAF hangolásához. Ehhez a folyamathoz engedélyeznie kell a diagnosztikai naplózást, rendszeresen át kell tekintenie a naplókat, és szabálykizárásokat és egyéb kockázatcsökkentéseket kell hozzáadnia.
• Ismételje meg ezt az egész folyamatot, rendszeresen ellenőrizze a naplókat, amíg meg nem győződik arról, hogy a rendszer nem blokkolja a jogszerű forgalmat. Az egész folyamat több hetet is igénybe vehet. Ideális esetben az egyes finomhangolási módosítások után kevesebb hamis pozitív észlelést kell látnia.
• Végül engedélyezze a WAF-ot megelőzési módban.
• Még ha éles környezetben is futtatja a WAF-ot, továbbra is figyelnie kell a naplókat, hogy azonosítsa a többi hamis pozitív észlelést. A naplók rendszeres áttekintése segít azonosítani a blokkolt valódi támadási kísérleteket is.

A ModSec CRS 3.0, a CRS 3.1 és a CRS 3.2 szabályok jelenleg csak a WAF-et támogatják az Application Gatewayen. A sebességkorlátozás és az Azure által felügyelt alapértelmezett szabálykészlet-szabályok csak az Azure Front Door WAF-jával támogatottak.

Az Azure hálózati peremhálózatán globálisan elosztott Azure Front Door képes elnyelni és földrajzilag elkülöníteni a nagy mennyiségű támadást. Létrehozhat egyéni WAF-szabályzatot az ismert aláírásokkal rendelkező HTTP-támadások automatikus letiltásához és sebességkorlátozásához. További információ: engedélyezheti a DDoS Network Protection szolgáltatást azon a virtuális hálózaton, amelyen a háttérrendszer üzembe van helyezve. Az Azure DDoS Protection ügyfelei további előnyöket kapnak, többek között a költségvédelmet, az SLA-garanciát és a DDoS gyorsreagálási csapat szakértőihez való hozzáférést, hogy azonnali segítséget kapjanak a támadás során. További információ: DDoS protection on Front Door.

Előfordulhat, hogy nem jelennek meg a sebességkorlát által azonnal blokkolt kérések, amikor a kéréseket különböző Front Door-kiszolgálók dolgozzák fel. További információ: Sebességkorlátozás és Front Door-kiszolgálók.

A Front Door WAF a következő tartalomtípusokat támogatja:

• DRS 2.0

  Felügyelt szabályok

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • többrészes/űrlapadatok

  Egyéni szabályok

  • application/x-www-form-urlencoded

• DRS 1.x

  Felügyelt szabályok

  • application/x-www-form-urlencoded
  • text/plain

  Egyéni szabályok

  • application/x-www-form-urlencoded

Nem, nem lehet. Az AFD-profilnak és a WAF-szabályzatnak ugyanabban az előfizetésben kell lennie.

Következő lépések

• További információ az Azure Web Application Firewallról.
• További információ az Azure Front Doorról.