Azure Web Application Firewall on Azure Front Door

  • مقالة
  • قراءة خلال 6 دقائق

يوفر جدار حماية تطبيقات الويب Azure (WAF) على Azure Front Door حماية مركزية لتطبيقات الويب الخاصة بك. تدافع WAF عن خدمات الويب الخاصة بك ضد المآثر ونقاط الضعف الشائعة. فهو يحافظ على خدمتك متاحة بشكل كبير للمستخدمين ويساعدك على تلبية متطلبات الامتثال.

WAF على الباب الأمامي هو حل عالمي ومركزي. يتم نشره على مواقع حافة شبكة Azure حول العالم. تقوم تطبيقات الويب التي تدعم WAF بفحص كل طلب وارد يتم تسليمه بواسطة Front Door على حافة الشبكة.

يمنع WAF الهجمات الضارة القريبة من مصادر الهجوم ، قبل دخولها إلى شبكتك الافتراضية. يمكنك الحصول على حماية عالمية على نطاق واسع دون التضحية بالأداء. ترتبط سياسة WAF بسهولة بأي ملف تعريف للباب الأمامي في اشتراكك. يمكن نشر قواعد جديدة في غضون دقائق، حتى تتمكن من الاستجابة بسرعة لأنماط التهديد المتغيرة.

Azure web application firewall

يحتوي Azure Front Door على مستويين: الباب الأمامي القياسي والباب الأمامي Premium. تم دمج WAF أصلا مع Premium الباب الأمامي بقدرات كاملة. بالنسبة إلى معيار الباب الأمامي، يتم دعم القواعد المخصصة فقط.

سياسة وقواعد المنتدى

يمكنك تكوين نهج WAF وإقران هذه السياسة بواحد أو أكثر من واجهات الباب الأمامي للحماية. تتكون سياسة WAF من نوعين من قواعد الأمان:

  • القواعد المخصصة التي تم تأليفها من قبل العميل.

  • مجموعات القواعد المدارة التي هي عبارة عن مجموعة من القواعد المدارة مسبقا بواسطة Azure.

عند وجود كليهما، تتم معالجة القواعد المخصصة قبل معالجة القواعد في مجموعة قواعد مدارة. تتكون القاعدة من شرط مطابقة وأولوية وإجراء. أنواع الإجراءات المدعومة هي: السماح، والحظر، والسجل، وإعادة التوجيه. يمكنك إنشاء نهج مخصص بالكامل يلبي متطلبات حماية التطبيق المحددة من خلال الجمع بين القواعد المدارة والمخصصة.

تتم معالجة القواعد داخل السياسة بترتيب أولوية. الأولوية هي عدد صحيح فريد يحدد ترتيب القواعد المراد معالجتها. تشير القيمة الصحيحة الأصغر إلى أولوية أعلى ويتم تقييم هذه القواعد قبل القواعد ذات القيمة الصحيحة الأعلى. بمجرد مطابقة قاعدة، يتم تطبيق الإجراء المقابل الذي تم تعريفه في القاعدة على الطلب. بمجرد معالجة مثل هذه المطابقة ، لا تتم معالجة القواعد ذات الأولويات الأقل بشكل أكبر.

يمكن أن يكون لتطبيق الويب الذي يتم تسليمه بواسطة Front Door سياسة WAF واحدة فقط مرتبطة به في كل مرة. ومع ذلك ، يمكنك الحصول على تكوين الباب الأمامي دون أي سياسات WAF مرتبطة به. إذا كانت سياسة WAF موجودة، تكرارها في جميع مواقعنا الطرفية لضمان سياسات أمنية متسقة في جميع أنحاء العالم.

أوضاع WAF

يمكن تكوين نهج WAF ليعمل في الوضعين التاليين:

  • وضع الكشف: عند تشغيله في وضع الكشف، لا يتخذ WAF أي إجراءات أخرى بخلاف مراقبة الطلب وتسجيله وقاعدة WAF المتطابقة الخاصة به إلى سجلات WAF. يمكنك تشغيل تشخيصات التسجيل للباب الأمامي. عند استخدام البوابة الإلكترونية، انتقل إلى قسم التشخيص .

  • وضع الوقاية: في وضع المنع، يتخذ WAF الإجراء المحدد إذا تطابق الطلب مع قاعدة. إذا تم العثور على مطابقة، فلن يتم تقييم أي قواعد أخرى ذات أولوية أقل. يتم أيضا تسجيل أي طلبات مطابقة في سجلات WAF.

إجراءات المنتدى

يمكن لعملاء WAF اختيار التشغيل من أحد الإجراءات عندما يتطابق الطلب مع شروط القاعدة:

  • جوز: يمر الطلب عبر WAF ويتم إعادة توجيهه إلى الواجهة الخلفية. ولا يمكن لأي قواعد أخرى ذات أولوية أدنى أن تمنع هذا الطلب.
  • حجز: يتم حظر الطلب ويرسل WAF ردا إلى العميل دون إعادة توجيه الطلب إلى الواجهة الخلفية.
  • سجل: يتم تسجيل الطلب في سجلات WAF ويواصل WAF تقييم قواعد الأولوية الأدنى.
  • اعاده توجيه: يقوم WAF بإعادة توجيه الطلب إلى عنوان URI المحدد. عنوان URI المحدد هو إعداد على مستوى السياسة. بمجرد تكوينها، سيتم إرسال جميع الطلبات التي تطابق إجراء إعادة التوجيه إلى عنوان URI هذا.

قواعد WAF

يمكن أن تتكون سياسة WAF من نوعين من قواعد الأمان - القواعد المخصصة، التي كتبها العميل ومجموعات القواعد المدارة، ومجموعة القواعد التي تم تكوينها مسبقا بواسطة Azure.

القواعد المخصصة التي تم تأليفها

يمكنك تكوين قواعد مخصصة WAF كما يلي:

  • قائمة السماح بالملكية الفكرية وقائمة الحظر: يمكنك التحكم في الوصول إلى تطبيقات الويب الخاصة بك استنادا إلى قائمة بعناوين IP الخاصة بالعميل أو نطاقات عناوين IP. يتم دعم كل من أنواع عناوين IPv4 و IPv6. يمكن تكوين هذه القائمة إما لحظر أو السماح لتلك الطلبات حيث يتطابق عنوان IP المصدر مع عنوان IP في القائمة.

  • التحكم في الوصول على أساس جغرافي: يمكنك التحكم في الوصول إلى تطبيقات الويب استنادا إلى رمز البلد المرتبط بعنوان IP الخاص بالعميل.

  • التحكم في الوصول المستند إلى معلمات HTTP: يمكنك تأسيس القواعد على تطابقات السلسلة في معلمات طلب HTTP/HTTPS. على سبيل المثال، سلاسل الاستعلام، و POST args، و Request URI، و Request Header، و Request Body.

  • طلب التحكم في الوصول القائم على الطريقة: يمكنك تأسيس القواعد على طريقة طلب HTTP للطلب. على سبيل المثال، GET أو PUT أو HEAD.

  • قيود الحجم: يمكنك بناء القواعد على أطوال أجزاء معينة من الطلب مثل سلسلة الاستعلام أو Uri أو نص الطلب.

  • قواعد الحد من الأسعار: تحد قاعدة التحكم في المعدل من حركة المرور المرتفعة بشكل غير طبيعي من أي عنوان IP للعميل. يمكنك تكوين حد أدنى لعدد طلبات الويب المسموح بها من عنوان IP الخاص بالعميل خلال مدة دقيقة واحدة. تختلف هذه القاعدة عن قاعدة مخصصة/حظر قائمة IP تسمح إما بكافة الطلبات من عنوان IP عميل أو تحظره. يمكن دمج حدود الأسعار مع شروط مطابقة إضافية مثل تطابقات معلمات HTTP(S) للتحكم في المعدل الدقيق.

مجموعات القواعد المدارة بواسطة Azure

توفر مجموعات القواعد المدارة من Azure طريقة سهلة لتوزيع الحماية ضد مجموعة مشتركة من تهديدات الأمان. نظرا لأن Azure يدير مجموعات القواعد هذه، يتم تحديث القواعد حسب الحاجة للحماية من توقيعات الهجوم الجديدة. تتضمن مجموعة القواعد الافتراضية التي يديرها Azure قواعد مقابل فئات التهديدات التالية:

  • البرمجة النصية للمواقع المشتركة
  • هجمات Java
  • تضمين الملف المحلي
  • هجوم عن طريق الحقن بـ PHP
  • تنفيذ الأوامر عن بعد
  • تضمين الملف عن بُعد
  • معالجة الجلسة
  • حماية حقن SQL
  • هجمات البروتوكول

يتم تطبيق القواعد المخصصة دائما قبل تقييم القواعد الموجودة في مجموعة القواعد الافتراضية. إذا تطابق الطلب مع قاعدة مخصصة، تطبيق إجراء القاعدة المقابل. يتم حظر الطلب أو تمريره إلى الواجهة الخلفية. لا تتم معالجة أي قواعد مخصصة أخرى أو القواعد الموجودة في مجموعة القواعد الافتراضية. يمكنك أيضا إزالة مجموعة القواعد الافتراضية من سياسات WAF الخاصة بك.

لمزيد من المعلومات، راجع مجموعات قواعد وقواعد DRS لجدار حماية تطبيق ويب.

مجموعة قواعد حماية الروبوت

يمكنك تمكين تعيين قاعدة حماية برامج التتبع المدارة لاتخاذ إجراءات مخصصة بناء على الطلبات الواردة من فئات برامج التتبع المعروفة.

هناك ثلاث فئات بوت مدعومة: سيئة وجيدة وغير معروفة. تتم إدارة توقيعات Bot وتحديثها ديناميكيا بواسطة منصة WAF.

تتضمن برامج التتبع السيئة برامج تتبع من عناوين IP ضارة وروبوتات زورت هوياتها. يتم الحصول على عناوين IP الضارة من موجز Microsoft Threat Intelligence ويتم تحديثها كل ساعة. تعمل Graph الأمان الذكي على تشغيل Microsoft Threat Intelligence ويتم استخدامه بواسطة خدمات متعددة بما في ذلك Microsoft Defender for Cloud.

تتضمن الروبوتات الجيدة محركات بحث تم التحقق من صحتها. تتضمن الفئات غير المعروفة مجموعات روبوتات إضافية عرفت نفسها على أنها روبوتات. على سبيل المثال ، محلل السوق ، وجلب الأعلاف ووكلاء جمع البيانات.

يتم تصنيف برامج التتبع غير المعروفة عبر وكلاء المستخدمين المنشورة دون التحقق من صحة إضافية. يمكنك تعيين إجراءات مخصصة لحظر أنواع مختلفة من برامج التتبع أو السماح بها أو تسجيلها أو إعادة توجيهها.

Bot Protection Rule Set

إذا تم تمكين حماية الروبوت، يتم تسجيل الطلبات الواردة التي تطابق قواعد الروبوت في سجل FrontdoorWebApplicationFirewallLog. يمكنك الوصول إلى سجلات WAF من حساب تخزين أو مركز أحداث أو تحليلات السجلات.

تهيئة

يمكنك تكوين جميع أنواع قواعد WAF ونشرها باستخدام مدخل Azure وواجهات برمجة تطبيقات REST وقوالب Azure Resource Manager وAzure PowerShell.

المراقبة

تم دمج مراقبة WAF عند الباب الأمامي مع Azure Monitor لتتبع التنبيهات ومراقبة اتجاهات حركة المرور بسهولة.

الخطوات التالية