Share via

Azure Web Application Firewall على Azure Content Delivery Network من Microsoft

  • مقالة

يوفر جدار حماية تطبيق الويب Azure (WAF) على شبكة توصيل المحتوى Azure (CDN) من Microsoft حماية مركزية لمحتوى الويب الخاص بك. يدافع WAF عن خدمات الويب الخاصة بك ضد عمليات الاستغلال والثغرات الأمنية الشائعة. فهو يحافظ على توفر الخدمة بشكل كبير للمستخدمين ويساعدك على تلبية متطلبات التوافق.

هام

لم يعد Azure WAF على Azure CDN من معاينة Microsoft يقبل عملاء جدد. يتم تشجيع العملاء على استخدام Azure WAF على Azure Front Door بدلا من ذلك. يتم تزويد عملاء CDN WAF الحاليين باتفاقية مستوى خدمة المعاينة. قد لا يتم دعم ميزات معينة أو قد لا يكون لها إمكانات مقيدة.  لمزيد من المعلومات، انظر شروط الاستخدام التكميلية لمعاينات Microsoft Azure.

WAF على الواجهة الأمامية يمثل حلًا عالميًا ومركزيًا. يتم توزيعه على مواقع حافة شبكة Azure في جميع أنحاء العالم. يوقف WAF الهجمات الضارة بالقرب من مصادر الهجوم، قبل أن تصل إلى أصلك. يمكنك الحصول على الحماية العالمية على نطاق واسع دون المساس بالأداء.

يرتبط نهج WAF بسهولة بأي نقطة نهاية CDN في اشتراكك. يمكن توزيع قواعد جديدة في غضون دقائق، حتى تتمكن من الاستجابة بسرعة لأنماط التهديد المتغيرة.

جدار حماية الويب من Azure

نهج وقواعد WAF

يمكنك تكوين نهج WAF وربط هذا النهج بنقطة نهاية واحدة أو أكثر من CDN بغرض الحماية. يتكون نهج WAF من نوعين من قواعد الأمان:

  • القواعد المخصصة التي تقوم بإنشائها.

  • مجموعات القواعد المدارة التي هي مجموعة من القواعد التي تم تكوينها مسبقا بواسطة Azure.

عند توفر كلتيهما، تتم معالجة القواعد المخصصة قبل معالجة القواعد في مجموعة القواعد المُدارة. تتكون القاعدة من شرط مطابقة وأولوية وإجراء. أنواع الإجراءات المدعومة هي: ALLOW وBLOCK وLOG وREDIRECT. يمكنك إنشاء نهج مخصص بالكامل يلبي متطلبات حماية التطبيق المحددة من خلال الجمع بين القواعد المدارة والمخصصة.

تتم معالجة القواعد داخل النهج بترتيب الأولوية. تمثل الأولوية عدد صحيح فريد يحدد ترتيب القواعد التي يجب معالجتها. تعد الأرقام الأصغر أولوية أعلى ويتم تقييم هذه القواعد قبل القواعد ذات القيمة الأكبر. بمجرد مطابقة قاعدة، يتم تطبيق الإجراء المقابل الذي تم تعريفه في القاعدة على الطلب. وبمجرد معالجة مثل هذه المطابقة، لا تتم معالجة القواعد ذات الأولويات الأقل بشكل أكبر.

يمكن أن يكون لتطبيق الويب الذي يتم تسليمه بواسطة الواجهة الأمامية نهج WAF واحد فقط مرتبط به في كل مرة. مع ذلك، يمكنك الحصول على نقطة نهاية CDN دون أي نهج WAF مقترنة بها. إذا كان نهج WAF موجودًا، يتم نسخه نسخًا متماثلًا إلى جميع المواقع المتطورة لدينا لضمان نهج أمان متسقة في جميع أنحاء العالم.

أوضاع WAF

يمكن تكوين نهج WAF للتشغيل في الوضعين التاليين:

  • وضع الكشف: عند التشغيل في وضع الكشف، لا يتخذ WAF أي إجراءات أخرى غير أجهزة العرض ويسجل الطلب وقاعدة WAF المتطابقة الخاصة به إلى سجلات WAF. يمكنك تشغيل تشخيصات التسجيل لـ CDN. عند استخدام المدخل، انتقل إلى قسم التشخيصات.

  • وضع الوقاية: في وضع الوقاية، يتخذ WAF الإجراء المحدد إذا تطابق الطلب مع قاعدة. إذا تم العثور على تطابق، فلا يتم تقييم أي قواعد أخرى ذات أولوية أقل. تسجل أيضًا أي طلبات متطابقة في سجلات WAF.

إجراءات WAF

يمكنك اختيار أحد الإجراءات التالية عندما يتطابق الطلب مع شروط القاعدة:

  • السماح: يمر الطلب عبر WAF، وتتم إعادة توجيهه إلى الواجهة الخلفية. لا يمكن لأي قواعد أولوية أقل حظر هذا الطلب.
  • الحظر: تم حظر الطلب ويرسل WAF استجابة إلى العميل دون إعادة توجيه الطلب إلى الواجهة الخلفية.
  • السجل: يتم تسجيل الطلب في سجلات WAF ويستمر WAF في تقييم قواعد الأولوية المنخفضة.
  • إعادة التوجيه: يعيد WAF توجيه الطلب إلى URI المحدد. عنوان URI المحدد هو إعداد مستوى النهج. بمجرد التكوين، سيتم إرسال جميع الطلبات التي تطابق إجراء إعادة التوجيه إلى URI هذا.

قواعد WAF

يتكون نهج WAF من نوعين من قواعد الأمان:

  • القواعد المخصصة: القواعد التي يمكنك إنشاؤها بنفسك.
  • مجموعات القواعد المدارة: مجموعة القواعد المدارة التي تم تكوينها مسبقا من Azure والتي يمكنك تمكينها.

قواعد مخصصة

يمكن أن تحتوي القواعد المخصصة على قواعد مطابقة وقواعد التحكم في المعدل.

يمكنك تكوين قواعد المطابقة المخصصة التالية:

  • قائمة عناوين IP المسموح بها وقائمة الحظر: يمكنك التحكم في الوصول إلى تطبيقات الويب الخاصة بك بناءً على قائمة عناوين IP للعميل أو نطاقات عناوين IP. يتم اعتماد نوعي العناوين IPv4 وIPv6 أنواع كليهما. تستخدم قواعد قائمة IP عنوان IP RemoteAddress المضمن في رأس طلب X-Forwarded-For وليس SocketAddress الذي يراه WAF. يمكن تكوين قوائم IP إما لحظر الطلبات أو السماح بها حيث يتطابق عنوان IP RemoteAddress مع IP في القائمة. إذا كان لديك شرط لحظر الطلب على عنوان IP المصدر الذي يراه WAF، على سبيل المثال عنوان الخادم الوكيل إذا كان المستخدم خلف وكيل، فيجب عليك استخدام المستويات القياسية أو المتميزة ل Azure Front Door. لمزيد من المعلومات، راجع تكوين قاعدة تقييد IP باستخدام جدار حماية تطبيق ويب ل Azure Front Door للحصول على التفاصيل.

  • التحكم في الوصول المستند إلى الموقع الجغرافي: يمكنك التحكم في الوصول إلى تطبيقات الويب الخاصة بك استنادًا إلى رمز البلد المرتبط بعنوان IP للعميل.

  • التحكم في الوصول المستند إلى معلمات HTTP: يمكنك إنشاء قواعد على تطابقات السلسلة في معلمات طلب HTTP/HTTPS. على سبيل المثال، سلاسل الاستعلام ووسيطات POST وعناوين URI للطلب وعنوان الطلب والنص الأساسي للطلب.

  • طلب التحكم بالوصول المستند إلى الأسلوب: تقوم بتأسيس القواعد على أسلوب طلب HTTP للطلب. على سبيل المثال، GET أو PUT أو HEAD.

  • قيد الحجم: يمكنك إنشاء قواعد على أطوال أجزاء معينة من طلب، مثل سلسلة الاستعلام أو Uri أو نص الطلب.

تحد قاعدة التحكم بالمعدل من نسبة استخدام الشبكة العالية بشكلٍ غير طبيعي من أي عنوان IP للعميل.

  • قواعد تحديد معدل: يمكنك تكوين حد على عدد طلبات الويب المسموح بها من عنوان IP للعميل خلال مدة دقيقة أو خمس دقائق. تختلف هذه القاعدة عن قاعدة مخصصة للسماح/الحظر المستندة إلى قائمة IP التي تسمح بكل الطلبات أو تحظر جميع الطلبات من عنوان IP للعميل. يمكن دمج حدود المعدل مع شروط مطابقة إضافية، مثل تطابقات معلمات HTTP(S) للتحكم الدقيق في المعدل.

مجموعات القواعد المدارة من Azure

توفر مجموعات القواعد المدارة من Azure طريقة سهلة لتوزيع الحماية ضد مجموعة مشتركة من تهديدات الأمان. نظرا لأن Azure يدير مجموعات القواعد هذه، يتم تحديث القواعد حسب الحاجة للحماية من توقيعات الهجوم الجديدة. تتضمن مجموعة القواعد الافتراضية المدارة من Azure قواعد ضد فئات التهديد التالية:

  • البرمجة النصية للمواقع المشتركة
  • هجمات Java
  • تضمين الملف المحلي
  • هجوم عن طريق الحقن بـ PHP
  • تنفيذ الأوامر عن بعد
  • تضمين الملف البعيد
  • معالجة الجلسة
  • حماية حقن SQL
  • هجمات البروتوكول

يتزايد رقم إصدار مجموعة القواعد الافتراضية عند إضافة تواقيع هجوم جديدة إلى مجموعة القواعد. يتم تمكين مجموعة القواعد الافتراضية بشكلٍ افتراضي في وضع الكشف في نهج WAF. يمكنك تعطيل القواعد الفردية أو تمكينها ضمن مجموعة القواعد الافتراضية لتلبية متطلبات تطبيقك. يمكنك أيضاً تعيين إجراءات محددة (ALLOW/BLOCK/REDIRECT/LOG) لكل قاعدة. الإجراء الافتراضي لمجموعة القواعد الافتراضية المدارة هو حظر.

يتم تطبيق القواعد المخصصة دائماً قبل تقييم القواعد في مجموعة القواعد الافتراضية. إذا تطابق الطلب مع قاعدة مخصصة، يتم تطبيق إجراء القاعدة المقابلة. يتم حظر الطلب أو تمريره إلى الخلفية. لا تتم معالجة أي قواعد مخصصة أخرى أو القواعد الموجودة في مجموعة القواعد الافتراضية. يمكنك أيضاً إزالة مجموعة القواعد الافتراضية من نهج WAF.

التكوين

يمكنك تكوين وتوزيع جميع أنواع قواعد WAF باستخدام مدخل Microsoft Azure وواجهات برمجة تطبيقات REST وقوالب Azure Resource Manager وAzure PowerShell.

مراقبة‬

يتم دمج مراقبة WAF باستخدام CDN مع مراقبة Azure لتتبع التنبيهات ومراقبة اتجاهات نسبة استخدام الشبكة بسهولة.

الخطوات التالية