Megosztás a következőn keresztül:

Azure Web Application Firewall az Azure Content Delivery Networken a Microsofttól

  • Cikk

A Microsoft azure-beli Tartalomkézbesítési hálózatán (CDN) futó Azure Web Application Firewall (WAF) központi védelmet nyújt a webes tartalom számára. A WAF védi a webszolgáltatásokat a gyakori biztonsági résekkel és biztonsági résekkel szemben. A szolgáltatás magas rendelkezésre állású marad a felhasználók számára, és segít megfelelni a megfelelőségi követelményeknek.

Fontos

A Microsoft előzetes verziójából származó Azure WAF az Azure CDN-en már nem fogad új ügyfeleket. Az ügyfeleknek javasoljuk, hogy inkább az Azure WAF-et használják az Azure Front Dooron . A meglévő CDN WAF-ügyfelek előzetes verziójú szolgáltatásiszint-szerződéssel vannak ellátva. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik.  A részleteket lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Az Azure CDN-en futó WAF egy globális és központosított megoldás. Az azure-beli hálózati peremhálózati helyeken van üzembe helyezve világszerte. A WAF a támadási források közelében leállítja a rosszindulatú támadásokat, mielőtt elérnék az Ön forrását. Globális védelmet kaphat a teljesítmény feláldozása nélkül.

A WAF-szabályzatok egyszerűen hivatkoznak az előfizetés bármely CDN-végpontjához. Az új szabályok perceken belül üzembe helyezhetők, így gyorsan reagálhat a változó fenyegetésmintákra.

Azure-beli webalkalmazási tűzfal

WAF-szabályzat és szabályok

Konfigurálhat egy WAF-szabályzatot, és társíthatja ezt a házirendet egy vagy több CDN-végponthoz a védelem érdekében. A WAF-szabályzatok kétféle biztonsági szabályból állnak:

  • létrehozható egyéni szabályok.

  • felügyelt szabálykészletek, amelyek az Azure által felügyelt előre konfigurált szabályok gyűjteményei.

Ha mindkettő jelen van, az egyéni szabályok feldolgozása a szabályok felügyelt szabálykészletben való feldolgozása előtt történik. A szabály egyezés feltételből, prioritásból és műveletből áll. A támogatott művelettípusok a következők: ENGEDÉLYEZÉS, BLOKK, NAPLÓ és ÁTIRÁNYÍTÁS. Felügyelt és egyéni szabályok kombinálásával teljesen testre szabott szabályzatot hozhat létre, amely megfelel az adott alkalmazásvédelmi követelményeknek.

A szabályzaton belüli szabályok feldolgozása prioritási sorrendben történik. A prioritás egy egyedi szám, amely meghatározza a feldolgozandó szabályok sorrendjét. A kisebb számok nagyobb prioritást élveznek, és ezeket a szabályokat a nagyobb értékű szabályok előtt értékeli ki a rendszer. A szabály egyeztetése után a rendszer a szabályban definiált megfelelő műveletet alkalmazza a kérelemre. Az ilyen egyezés feldolgozása után az alacsonyabb prioritású szabályok feldolgozása nem történik meg tovább.

Az Azure CDN-en üzemeltetett webalkalmazásokhoz egyszerre csak egy WAF-szabályzat társítható. A CDN-végpontok azonban anélkül is rendelkezhetnek, hogy waf-szabályzatok társítanák hozzá. Ha waf-szabályzat van jelen, a rendszer replikálja az összes peremhálózati helyre, hogy egységes biztonsági szabályzatokat biztosítson világszerte.

WAF-módok

A WAF-szabályzat úgy konfigurálható, hogy az alábbi két módban fusson:

  • Észlelési mód: Észlelési módban való futtatáskor a WAF nem hajt végre más műveleteket, csak figyeli és naplózza a kérést és annak egyező WAF-szabályát a WAF-naplókban. Bekapcsolhatja a CDN naplózási diagnosztikáit. A portál használatakor lépjen a Diagnosztika szakaszra.

  • Megelőzési mód: Megelőzési módban a WAF végrehajtja a megadott műveletet, ha egy kérés megfelel egy szabálynak. Ha talál egyezést, a rendszer nem értékeli ki az alacsonyabb prioritású további szabályokat. Az egyeztetett kérések a WAF-naplókba is bekerülnek.

WAF-műveletek

A következő műveletek közül választhat, ha egy kérelem megfelel egy szabály feltételeinek:

  • Engedélyezés: A kérelem áthalad a WAF-on, és a háttérrendszerbe továbbítja. A kérést további alacsonyabb prioritású szabályok nem blokkolhatják.
  • Blokk: A kérés le van tiltva, és a WAF választ küld az ügyfélnek anélkül, hogy továbbítanák a kérést a háttérrendszernek.
  • Napló: A kérés a WAF-naplókban van naplózva, és a WAF továbbra is kiértékeli az alacsonyabb prioritású szabályokat.
  • Átirányítás: A WAF átirányítja a kérést a megadott URI-ba. A megadott URI egy szabályzatszint-beállítás. A konfigurálás után a rendszer az átirányítási műveletnek megfelelő összes kérést elküldi az adott URI-nak.

WAF-szabályok

A WAF-szabályzatok kétféle biztonsági szabályból állhatnak:

  • egyéni szabályok: saját maga létrehozható szabályok.
  • felügyelt szabálykészletek: Az Azure által felügyelt előre konfigurált szabálykészlet, amelyet engedélyezhet.

Egyéni szabályok

Az egyéni szabályok megegyezhetnek a szabályokkal és a sebességszabályozási szabályokkal.

A következő egyéni egyeztetési szabályokat konfigurálhatja:

  • IP-engedélyezési lista és tiltólista: A webalkalmazásokhoz való hozzáférést az ügyfél IP-címeinek vagy IP-címtartományainak listája alapján szabályozhatja. Az IPv4 és az IPv6 címtípus is támogatott. Az IP-listaszabályok az X-Forwarded-For kérelemfejlécben található RemoteAddress IP-címet használják, nem pedig a WAF által látott SocketAddresst. Az IP-listák úgy konfigurálhatók, hogy letiltsa vagy engedélyezze azokat a kéréseket, amelyekben a RemoteAddress IP-címe megegyezik a listában szereplő IP-címmel. Ha a WAF által látott forrás IP-címmel kapcsolatos kérések letiltására van szükség, például a proxykiszolgáló címére, ha a felhasználó proxy mögött van, akkor az Azure Front Door standard vagy prémium szintű rétegeit kell használnia. További információ: IP-korlátozási szabály konfigurálása webalkalmazási tűzfallal az Azure Front Doorhoz .

  • Földrajzi alapú hozzáférés-vezérlés: A webalkalmazásokhoz való hozzáférést az ügyfél IP-címéhez társított országkód alapján szabályozhatja.

  • HTTP-paramétereken alapuló hozzáférés-vezérlés: A http-/HTTPS-kérési paraméterekben sztringek egyezésére vonatkozó szabályokat alapozza. Lekérdezési sztringek, POST args, Request URI, Request Header és Request Body.

  • Kérelemmetódus-alapú hozzáférés-vezérlés: A szabályokat a kérelem HTTP-kérési metódusára alapozza. Például GET, PUT vagy HEAD.

  • Méretkorlátozás: A szabályokat a kérelem adott részeinek hosszára, például lekérdezési sztringre, URI-ra vagy kérelemtörzsre alapozhatja.

A sebességszabályozási szabály bármilyen ügyfél IP-címről korlátozza a rendellenesen magas forgalmat.

  • Sebességkorlátozó szabályok: Egy perc alatt konfigurálhat küszöbértéket az ügyfél IP-címéről engedélyezett webkérelmek száma alapján. Ez a szabály különbözik az IP-listaalapú engedélyezési/blokkolási egyéni szabálytól, amely az összes kérést engedélyezi vagy letiltja egy ügyfél IP-címéről. A sebességkorlátok kombinálhatók több egyezési feltétellel, például HTTP(S) paraméteregyezéssel a részletes sebességszabályozáshoz.

Azure által felügyelt szabálykészletek

Az Azure által felügyelt szabálykészletek egyszerű módot nyújtanak a gyakori biztonsági fenyegetések elleni védelem üzembe helyezésére. Mivel az Azure kezeli ezeket a szabálykészleteket, a szabályok szükség szerint frissülnek az új támadási aláírások elleni védelem érdekében. Az Azure által felügyelt alapértelmezett szabálykészlet a következő fenyegetéskategóriákra vonatkozó szabályokat tartalmaz:

  • Webhelyek közötti, szkriptalapú támadás
  • Java-támadások
  • Helyi fájlbefoglalás
  • PHP-injektálási támadások
  • Távoli parancsvégrehajtás
  • Távolifájl-beszúrás
  • Munkamenet-javítás
  • SQL-injektálás elleni védelem
  • Protokoll támadói

Az alapértelmezett szabálykészlet verziószáma növekszik, amikor új támadási aláírásokat ad hozzá a szabálykészlethez. Az alapértelmezett szabálykészlet alapértelmezés szerint engedélyezve van észlelési módban a WAF-házirendekben. Az alapértelmezett szabálykészleten belül letilthatja vagy engedélyezheti az egyes szabályokat, hogy megfeleljenek az alkalmazás követelményeinek. Szabályonként meghatározott műveleteket (ALLOW/BLOCK/REDIRECT/LOG) is beállíthat. A felügyelt alapértelmezett szabálykészlet alapértelmezett művelete a Letiltás.

Az alapértelmezett szabálykészlet szabályainak kiértékelése előtt mindig egyéni szabályok lesznek alkalmazva. Ha egy kérelem egyezik egy egyéni szabálysal, a rendszer alkalmazza a megfelelő szabályműveletet. A kérés le van tiltva, vagy továbbítva van a háttérrendszernek. Nincs más egyéni szabály vagy az alapértelmezett szabálykészlet szabályainak feldolgozása. Az alapértelmezett szabálykészletet a WAF-szabályzatokból is eltávolíthatja.

Konfiguráció

Az összes WAF-szabálytípust konfigurálhatja és telepítheti az Azure Portal, a REST API-k, az Azure Resource Manager-sablonok és az Azure PowerShell használatával.

Figyelés

A WAF CDN-sel való monitorozása integrálva van az Azure Monitorral a riasztások nyomon követése és a forgalmi trendek egyszerű monitorozása érdekében.

Következő lépések