Share via

جدار حماية تطبيق الويب Azure في Azure Front Door

  • مقالة

يوفر Azure Web Application Firewall على Azure Front Door حماية مركزية لتطبيقات الويب الخاصة بك. يدافع جدار حماية تطبيق الويب (WAF) عن خدمات الويب الخاصة بك ضد الاستغلالات والثغرات الأمنية الشائعة. فهو يحافظ على توفر الخدمة بشكل كبير للمستخدمين ويساعدك على تلبية متطلبات التوافق.

Azure Web Application Firewall على Azure Front Door هو حل عالمي ومركزي. يتم توزيعه على مواقع حافة شبكة Azure في جميع أنحاء العالم. تقوم تطبيقات الويب التي تدعم WAF بفحص كل طلب وارد يتم تسليمه بواسطة Azure Front Door على حافة الشبكة.

يمنع WAF الهجمات الضارة القريبة من مصادر الهجوم قبل دخولها إلى شبكتك الظاهرية. يمكنك الحصول على الحماية العالمية على نطاق واسع دون المساس بالأداء. يرتبط نهج WAF بسهولة بأي ملف تعريف Azure Front Door في اشتراكك. يمكن توزيع قواعد جديدة في غضون دقائق، حتى تتمكن من الاستجابة بسرعة لأنماط التهديد المتغيرة.

Screenshot that shows Azure Web Application Firewall.

إشعار

بالنسبة لأحمال عمل الويب، نوصي بشدة باستخدام حماية Azure DDoS وجدار حماية تطبيق الويب للحماية من هجمات DDoS الناشئة. خيار آخر هو استخدام Azure Front Door جنبا إلى جنب مع جدار حماية تطبيق الويب. يوفر Azure Front Door حماية على مستوى النظام الأساسي ضد هجمات DDoS على مستوى الشبكة. لمزيد من المعلومات، راجع أساس الأمان لخدمات Azure.

يحتوي Azure Front Door على مستويين:

  • قياسي
  • متميز

يتم دمج Azure Web Application Firewall في الأصل مع Azure Front Door Premium مع الإمكانات الكاملة. بالنسبة إلى Azure Front Door Standard، يتم دعم القواعد المخصصة فقط.

الحماية

يحمي Azure Web Application Firewall ما يلي:

  • تطبيقات الويب من الثغرات الأمنية على الويب والهجمات دون تعديلات على التعليمات البرمجية الخلفية.
  • تطبيقات الويب من الروبوتات الضارة مع مجموعة قواعد سمعة IP.
  • التطبيقات ضد هجمات DDoS. لمزيد من المعلومات، راجع حماية تطبيق DDoS.

نهج وقواعد WAF

يمكنك تكوين نهج WAF وربط هذا النهج بمجال واحد أو أكثر من مجالات Azure Front Door للحماية. يتكون نهج WAF من نوعين من قواعد الأمان:

  • القواعد المخصصة التي أنشأها العميل.
  • مجموعات القواعد المدارة التي هي مجموعة من مجموعات القواعد التي تم تكوينها مسبقا بواسطة Azure.

عند توفر كلتيهما، تتم معالجة القواعد المخصصة قبل معالجة القواعد في مجموعة القواعد المُدارة. تتكون القاعدة من شرط مطابقة وأولوية وإجراء. أنواع الإجراءات المدعومة هي ALLOW و BLOCK وLOG و REDIRECT. يمكنك إنشاء نهج مخصص بالكامل يلبي متطلبات حماية التطبيق المحددة من خلال الجمع بين القواعد المدارة والمخصصة.

تتم معالجة القواعد داخل النهج بترتيب الأولوية. الأولوية عبارة عن عدد صحيح فريد يحدد ترتيب القواعد التي يجب معالجتها. تشير قيمة عدد صحيح أصغر إلى أولوية أعلى، ويتم تقييم هذه القواعد قبل القواعد ذات قيمة عدد صحيح أعلى. بعد مطابقة قاعدة، يتم تطبيق الإجراء المقابل الذي تم تعريفه في القاعدة على الطلب. بعد معالجة مثل هذه المطابقة، لا تتم معالجة القواعد ذات الأولويات الأقل بشكل أكبر.

يمكن أن يكون لتطبيق الويب الذي تم تسليمه بواسطة Azure Front Door نهج WAF واحد فقط مقترن به في كل مرة. ومع ذلك، يمكن أن يكون لديك تكوين Azure Front Door دون أي نهج WAF مقترنة به. إذا كان نهج WAF موجودًا، يتم نسخه نسخًا متماثلًا إلى جميع المواقع المتطورة لدينا لضمان نهج أمان متسقة في جميع أنحاء العالم.

أوضاع WAF

يمكنك تكوين نهج WAF للتشغيل في وضعين:

  • الكشف: عند تشغيل WAF في وضع الكشف، فإنه يراقب فقط الطلب ويسجل قاعدة WAF المتطابقة الخاصة به إلى سجلات WAF. لا يتخذ أي إجراءات أخرى. يمكنك تشغيل تشخيصات التسجيل ل Azure Front Door. عند استخدام المدخل، انتقل إلى قسم التشخيصات.
  • الوقاية: في وضع الوقاية، يتخذ WAF الإجراء المحدد إذا تطابق الطلب مع قاعدة. إذا تم العثور على تطابق، فلا يتم تقييم أي قواعد أخرى ذات أولوية أقل. تسجل أيضًا أي طلبات متطابقة في سجلات WAF.

إجراءات WAF

يمكن لعملاء WAF اختيار التشغيل من أحد الإجراءات عندما يتطابق الطلب مع شروط القاعدة:

  • السماح: يمر الطلب عبر WAF ويتم إعادة توجيهه إلى الأصل. لا يمكن لأي قواعد أولوية أقل حظر هذا الطلب.
  • الحظر: تم حظر الطلب ويرسل WAF استجابة إلى العميل دون إعادة توجيه الطلب إلى الأصل.
  • السجل: يتم تسجيل الطلب في سجلات WAF ويستمر WAF في تقييم قواعد الأولوية المنخفضة.
  • إعادة التوجيه: يعيد WAF توجيه الطلب إلى URI المحدد. URI المحدد هو إعداد على مستوى النهج. بعد التكوين، يتم إرسال جميع الطلبات التي تطابق إجراء إعادة التوجيه إلى URI هذا.
  • درجة الشذوذ: يتم زيادة إجمالي درجة الشذوذ بشكل متزايد عند مطابقة قاعدة بهذا الإجراء. هذا الإجراء الافتراضي هو لمجموعة القواعد الافتراضية 2.0 أو أحدث. لا ينطبق على مجموعة قواعد Bot Manager.

قواعد WAF

يتكون نهج WAF من نوعين من قواعد الأمان:

  • القواعد المخصصة، التي ألفها العميل ومجموعات القواعد المدارة
  • مجموعات القواعد التي تم تكوينها مسبقا بواسطة Azure

القواعد التي تم تأليفها حسب الطلب

لتكوين قواعد مخصصة ل WAF، استخدم عناصر التحكم التالية:

  • قائمة السماح وقائمة الحظر لعناوين IP: يمكنك التحكم في الوصول إلى تطبيقات الويب الخاصة بك بناءً على قائمة عناوين IP للعميل أو نطاقات عناوين IP. يتم اعتماد نوعي العناوين IPv4 وIPv6 أنواع كليهما. يمكن تكوين هذه القائمة إما لحظر أو السماح بتلك الطلبات، حيث يتطابق IP المصدر مع IP في القائمة.
  • التحكم في الوصول المستند إلى الجغرافي: يمكنك التحكم في الوصول إلى تطبيقات الويب الخاصة بك استنادا إلى رمز البلد المرتبط بعنوان IP للعميل.
  • التحكم في الوصول المستند إلى معلمات HTTP: يمكنك إنشاء قواعد على تطابقات السلسلة في معلمات طلب HTTP/HTTPS. تتضمن الأمثلة سلاسل الاستعلام وPOST args و Request URI و Request Header و Request Body.
  • طلب التحكم بالوصول المستند إلى الأسلوب: تقوم بتأسيس القواعد على أسلوب طلب HTTP للطلب. تتضمن الأمثلة GET أو PUT أو HEAD.
  • قيد الحجم: يمكنك إسناد القواعد إلى أطوال أجزاء معينة من الطلب، مثل سلسلة الاستعلام أو Uri أو نص الطلب.
  • قواعد تحديد المعدل: تحد قاعدة تحديد المعدل من نسبة استخدام الشبكة المرتفعة بشكل غير طبيعي من أي عنوان IP للعميل. يمكنك تكوين حد لعدد طلبات الويب المسموح بها من عنوان IP للعميل خلال مدة دقيقة واحدة. تختلف هذه القاعدة عن قاعدة مخصصة للسماح/الحظر المستندة إلى قائمة IP التي تسمح بجميع الطلبات أو تحظرها من عنوان IP للعميل. يمكن دمج حدود المعدل مع شروط المطابقة الأخرى، مثل تطابقات معلمات HTTP(S) للتحكم في المعدل الدقيق.

مجموعات القواعد المدارة من Azure

توفر مجموعات القواعد المدارة من Azure طريقة سهلة لتوزيع الحماية ضد مجموعة مشتركة من تهديدات الأمان. نظرا لأن Azure يدير مجموعات القواعد هذه، يتم تحديث القواعد حسب الحاجة للحماية من توقيعات الهجوم الجديدة. تتضمن مجموعة القواعد الافتراضية المدارة من Azure قواعد ضد فئات التهديد التالية:

  • البرمجة النصية للمواقع المشتركة
  • هجمات Java
  • تضمين الملف المحلي
  • هجوم عن طريق الحقن بـ PHP
  • تنفيذ الأوامر عن بعد
  • تضمين الملف البعيد
  • معالجة الجلسة
  • حماية حقن SQL
  • هجمات البروتوكول

يتم تطبيق القواعد المخصصة دائماً قبل تقييم القواعد في مجموعة القواعد الافتراضية. إذا تطابق الطلب مع قاعدة مخصصة، يتم تطبيق إجراء القاعدة المقابلة. يتم حظر الطلب أو تمريره إلى النهاية الخلفية. لا تتم معالجة أي قواعد مخصصة أخرى أو القواعد الموجودة في مجموعة القواعد الافتراضية. يمكنك أيضاً إزالة مجموعة القواعد الافتراضية من نهج WAF.

لمزيد من المعلومات، راجع مجموعات قواعد وقواعد مجموعة القواعد الافتراضية لجدار حماية تطبيق ويب.

مجموعة قواعد حماية الدردشة الآلية

يمكنك تمكين مجموعة قاعدة حماية دردشة آلية مدارة لاتخاذ إجراءات مخصصة على الطلبات من فئات الدردشات الآلية المعروفة.

يتم دعم ثلاث فئات روبوت:

  • سيئ: تتضمن الروبوتات السيئة الروبوتات من عناوين IP الضارة والروبوتات التي زورت هوياتها. يتم الحصول على عناوين IP الضارة من موجز التحليل الذكي للمخاطر من Microsoft وتحديثها كل ساعة. يعمل Intelligent Security Graph على دعم Microsoft Threat Intelligence ويستخدم من قبل خدمات متعددة، بما في ذلك Microsoft Defender for Cloud.
  • جيد: تتضمن الروبوتات الجيدة محركات البحث التي تم التحقق من صحتها.
  • غير معروف: تتضمن الروبوتات غير المعروفة مجموعات روبوتات أخرى تعرفت على نفسها على أنها روبوتات. ومن الأمثلة على ذلك محللات السوق وجلب الموجزات ووكلاء جمع البيانات. يتم تصنيف الروبوتات غير المعروفة عبر وكلاء المستخدمين المنشورين دون أي تحقق آخر.

يدير النظام الأساسي WAF توقيعات الروبوت ويحدثها ديناميكيا. يمكنك تعيين إجراءات مخصصة لحظر أنواع مختلفة من الدردشات الآلية أو السماح بها أو تسجيلها أو إعادة توجيهها.

Screenshot that shows a bot protection rule set.

إذا تم تمكين حماية الدردشة الآلية، يتم تسجيل الطلبات الواردة التي تطابق قواعد الدردشة الآلية. يمكنك الوصول إلى سجلات WAF من حساب تخزين أو مركز أحداث أو Log Analytics. لمزيد من المعلومات حول كيفية تسجيل WAF للطلبات، راجع مراقبة Azure Web Application Firewall وتسجيله.

التكوين

يمكنك تكوين ونشر جميع نهج WAF باستخدام مدخل Microsoft Azure وواجهات برمجة تطبيقات REST وقوالب Azure Resource Manager وAzure PowerShell. يمكنك أيضا تكوين نهج Azure WAF وإدارتها على نطاق واسع باستخدام تكامل Firewall Manager. لمزيد من المعلومات، راجع استخدام Azure Firewall Manager لإدارة نهج Azure Web Application Firewall.

مراقبة‬

يتم دمج مراقبة WAF على Azure Front Door مع Azure Monitor لتتبع التنبيهات ومراقبة اتجاهات نسبة استخدام الشبكة بسهولة. لمزيد من المعلومات، راجع مراقبة Azure Web Application Firewall وتسجيله.

الخطوات التالية