أفضل الممارسات لجدار حماية تطبيق ويب Azure في Azure Front Door

تلخص هذه المقالة أفضل الممارسات لاستخدام Azure Web Application Firewall في Azure Front Door.

أفضل الممارسات العامة

يناقش هذا القسم أفضل الممارسات العامة.

تمكين WAF

بالنسبة للتطبيقات التي تواجه الإنترنت، نوصي بتمكين جدار حماية تطبيق ويب (WAF) وتكوينه لاستخدام القواعد المدارة. عند استخدام WAF وقواعد تديرها Microsoft، يكون التطبيق الخاص بك محميًا من مجموعة من الهجمات.

ضبط WAF الخاص بك

يجب ضبط القواعد الموجودة في WAF لحمل العمل الخاص بك. إذا لم تقم بضبط WAF الخاص بك، فقد يمنع عن طريق الخطأ الطلبات التي يجب السماح بها. قد يتضمن الضبط إنشاء استثناءات القواعد لتقليل الاكتشافات الإيجابية الخاطئة.

أثناء ضبط WAF الخاص بك، ضع في اعتبارك استخدام وضع الكشف. يسجل هذا الوضع الطلبات والإجراءات التي يتخذها WAF عادة، ولكنه لا يمنع فعليا أي حركة مرور.

لمزيد من المعلومات، راجع ضبط Azure Web Application Firewall ل Azure Front Door.

استخدام وضع الوقاية

بعد ضبط WAF الخاص بك، قم بتكوينه للتشغيل في وضع الوقاية. من خلال التشغيل في وضع الوقاية، تأكد من أن WAF يحظر الطلبات التي يكتشف أنها ضارة. يعد التشغيل في وضع الكشف مفيدا أثناء ضبط وتكوين WAF الخاص بك، ولكنه لا يوفر أي حماية.

تعريف تكوين WAF الخاص بك كتعليمة برمجية

عند ضبط WAF الخاص بك لحمل عمل التطبيق الخاص بك، عادة ما تقوم بإنشاء مجموعة من استثناءات القواعد لتقليل الاكتشافات الإيجابية الزائفة. إذا قمت بتكوين هذه الاستثناءات يدويا باستخدام مدخل Microsoft Azure، عند ترقية WAF الخاص بك لاستخدام إصدار أحدث من مجموعة القواعد، تحتاج إلى إعادة تكوين نفس الاستثناءات مقابل إصدار مجموعة القواعد الجديد. يمكن أن تستغرق هذه العملية وقتاً طويلاً وعرضة للخطأ.

بدلا من ذلك، ضع في اعتبارك تعريف استثناءات قاعدة WAF والتكوين الآخر كتعليق برمجي، مثل استخدام Azure CLI أو Azure PowerShell أو Bicep أو Terraform. عندما تحتاج إلى تحديث إصدار مجموعة قواعد WAF الخاص بك، يمكنك بسهولة إعادة استخدام نفس الاستثناءات.

أفضل الممارسات لمجموعة القواعد المدارة

يناقش هذا القسم أفضل الممارسات لمجموعات القواعد.

تمكين مجموعات القواعد الافتراضية

تم تصميم مجموعات القواعد الافتراضية من Microsoft لحماية التطبيق الخاص بك عن طريق الكشف عن الهجمات الشائعة وحظرها. تستند القواعد إلى مصادر مختلفة، بما في ذلك أنواع هجمات OWASP الأعلى 10 ومعلومات من Microsoft Threat Intelligence.

لمزيد من المعلومات، راجع مجموعات القواعد المدارة من Azure.

تمكين قواعد إدارة الروبوت

الروبوتات مسؤولة عن نسبة كبيرة من نسبة استخدام الشبكة إلى تطبيقات الويب. تصنف مجموعة قواعد حماية الروبوت الخاصة ب WAF الروبوتات استنادًا إلى ما إذا كانت جيدة أو سيئة أو غير معروفة. يمكن بعد ذلك حظر الروبوتات السيئة، بينما يسمح بالروبوتات الجيدة مثل متتبعات محركات البحث من خلال تطبيقك.

لمزيد من المعلومات، راجع مجموعة قواعد حماية الروبوت.

استخدام أحدث إصدارات مجموعة القواعد

تقوم Microsoft بتحديث القواعد المدارة بانتظام لتأخذ في الاعتبار مشهد التهديد الحالي. تأكد من التحقق بانتظام من وجود تحديثات في مجموعات القواعد المُدارة من Azure.

لمزيد من المعلومات، راجع مجموعات قواعد وقواعد AZURE Web Application Firewall DRS.

تصنيف الحد من أفضل الممارسات

يناقش هذا القسم أفضل الممارسات للحد من المعدل.

إضافة تحديد سعر

يتيح لك Azure Front Door WAF التحكم في عدد الطلبات المسموح بها من عنوان IP لكل عميل على مدى فترة زمنية. من الممارسات الجيدة إضافة تحديد المعدل لتقليل تأثير العملاء عن طريق الخطأ أو عن قصد إرسال كميات كبيرة من حركة المرور إلى خدمتك، مثل أثناء عاصفة إعادة المحاولة.

لمزيد من المعلومات، راجع الموارد التالية:

• ما هو تحديد المعدل ل Azure Front Door؟.
• تكوين قاعدة حد معدل Azure Web Application Firewall باستخدام Azure PowerShell.
• لماذا يتم تمرير الطلبات الإضافية التي تتجاوز الحد الذي تم تكوينه لقاعدة حد المعدل إلى الخادم الخلفي؟

استخدام عتبة عالية لحدود المعدل

عادة ما يكون من الجيد تعيين حد المعدل الخاص بك ليكون مرتفعا. على سبيل المثال، إذا كنت تعرف أن عنوان IP لعميل واحد قد يرسل حوالي 10 طلبات إلى الخادم الخاص بك كل دقيقة، ففكر في تحديد حد 20 طلبًا في الدقيقة.

تتجنب عتبات حد المعدل المرتفع حظر نسبة استخدام الشبكة المشروعة. لا تزال هذه الحدود توفر الحماية ضد أعداد كبيرة جدا من الطلبات التي قد تطغى على البنية الأساسية الخاصة بك.

أفضل ممارسات التصفية حسب الموقع الجغرافي

يناقش هذا القسم أفضل الممارسات للتصفية الجغرافية.

نسبة استخدام الشبكة للتصفية حسب الموقع الجغرافي

تم تصميم العديد من تطبيقات الويب للمستخدمين داخل منطقة جغرافية معينة. إذا كان هذا الموقف ينطبق على التطبيق الخاص بك، ففكر في تنفيذ التصفية الجغرافية لحظر الطلبات التي تأتي من خارج البلدان أو المناطق التي تتوقع تلقي حركة المرور منها.

لمزيد من المعلومات، راجع ما هي التصفية الجغرافية على مجال ل Azure Front Door؟.

تحديد الموقع غير المعروف (ZZ)

لا يتم تعيين بعض عناوين IP إلى مواقع في مجموعة البيانات الخاصة بنا. عندما لا يمكن تعيين عنوان IP إلى موقع، يقوم WAF بتعيين نسبة استخدام الشبكة إلى البلد أو المنطقة المجهولة (ZZ). لتجنب حظر الطلبات الصالحة من عناوين IP هذه، ضع في اعتبارك السماح للبلد أو المنطقة المجهولة (ZZ) من خلال عامل التصفية الجغرافي.

لمزيد من المعلومات، راجع ما هي التصفية الجغرافية على مجال ل Azure Front Door؟.

تسجيل الدخول

يناقش هذا القسم التسجيل.

إضافة إعدادات التشخيص لحفظ سجلات WAF

يتكامل Azure Front Door WAF مع Azure Monitor. من المهم حفظ سجلات WAF إلى إحدى الوجهات مثل Log Analytics. يجب عليك مراجعة سجلات WAF بانتظام. تساعدك مراجعة السجلات على ضبط نهج WAF لتقليل الاكتشافات الإيجابية الخاطئة وفهم ما إذا كان تطبيقك قد تعرض للهجمات.

لمزيد من المعلومات، راجع مراقبة Azure Web Application Firewall وتسجيله.

إرسال السجلات إلى Microsoft Sentinel

Microsoft Sentinel هو نظام إدارة معلومات الأمان والأحداث (SIEM)، الذي يستورد السجلات والبيانات من مصادر متعددة لفهم مشهد التهديد لتطبيق الويب الخاص بك وبيئة Azure العامة. يجب استيراد سجلات Azure Front Door WAF إلى Microsoft Sentinel أو SIEM آخر بحيث يتم تضمين خصائصك المواجهة للإنترنت في تحليلها. بالنسبة إلى Microsoft Sentinel، استخدم موصل Azure WAF لاستيراد سجلات WAF الخاصة بك بسهولة.

لمزيد من المعلومات، راجع استخدام Microsoft Sentinel مع Azure Web Application Firewall.

الخطوات التالية

تعرف على كيفية إنشاء نهج Azure Front Door WAF.