ما هو Azure Web Application Firewall فيAzure Application Gateway؟
يوفر جدار حماية تطبيقات الويب Azure (WAF) على بوابة تطبيقات Azure حماية مركزية لتطبيقات الويب الخاصة بك من عمليات الاستغلال والثغرات الأمنية الشائعة. يتزايد استهداف تطبيقات الويب من خلال الهجمات الضارة التي تستغل الثغرات الأمنية المعروفة. حقن SQL والبرمجة عِبر المواقع هي من بين الهجمات الأكثر شيوعًا.
يستند WAF على بوابة التطبيق إلى مجموعة القواعد الأساسية (CRS) من Project أمان تطبيقات الويب المفتوحة (OWASP).
جميع ميزات WAF المدرجة أدناه موجودة داخل سياسة WAF. يمكنك إنشاء سياسات متعددة، ويمكن إقرانها ببوابة تطبيق، أو بمستمعين فرديين، أو بقواعد توجيه مستندة إلى مسار على بوابة تطبيق. وبهذه الطريقة، يمكنك الحصول على سياسات منفصلة لكل موقع خلف بوابة التطبيق إذا لزم الأمر. لمزيد من المعلومات حول سياسات WAF، راجع إنشاء سياسة WAF.
ملاحظة
تحتوي بوابة التطبيق على نسختين من رمز التخزين الاجتماعي WAF: WAF_v1 بوابة التطبيق WAF_v2 بوابة التطبيق. يتم دعم جمعيات سياسة WAF فقط ل sku WAF_v2 بوابة التطبيق.
تعمل بوابة التطبيق كوحدة تحكم في تسليم التطبيقات (ADC). وهو يوفر أمان طبقة النقل (TLS) ، المعروف سابقا باسم طبقة المقابس الآمنة (SSL) ، والإنهاء ، وتقارب الجلسة المستند إلى ملفات تعريف الارتباط ، وتوزيع الأحمال المستديرة ، والتوجيه المستند إلى المحتوى ، والقدرة على استضافة مواقع ويب متعددة ، وتحسينات الأمان.
تتضمن تحسينات أمان بوابة التطبيق إدارة سياسة طبقة النقل الآمنة ودعم طبقة النقل الآمنة من طرف إلى طرف. يتم تعزيز أمن التطبيقات من خلال دمج WAF في بوابة التطبيق. يحمي هذا المزيج تطبيقات الويب الخاصة بك من نقاط الضعف الشائعة. كما أنه يوفر موقعا مركزيا سهل التكوين لإدارته.
المزايا
يصف هذا القسم الفوائد الأساسية التي يوفرها WAF على بوابة التطبيقات.
الحماية
قم بحماية تطبيقات الويب الخاصة بك من نقاط الضعف والهجمات على الويب دون تعديل على التعليمات البرمجية الخلفية.
حماية تطبيقات ويب متعددة في نفس الوقت. يمكن لمثيل من "بوابة التطبيقات" استضافة ما يصل إلى 40 موقع ويب محمي بواسطة جدار حماية تطبيق ويب.
إنشاء سياسات WAF مخصصة لمواقع مختلفة خلف نفس WAF
حماية تطبيقات الويب الخاصة بك من برامج التتبع الضارة باستخدام مجموعة قواعد سمعة IP
المراقبة
راقب الهجمات ضد تطبيقات الويب الخاصة بك باستخدام سجل WAF في الوقت الفعلي. تم دمج السجل مع Azure Monitor لتتبع تنبيهات WAF ومراقبة الاتجاهات بسهولة.
تم دمج بوابة التطبيق WAF مع Microsoft Defender for Cloud. يوفر Defender for Cloud عرضا مركزيا لحالة الأمان لجميع موارد Azure والمختلطة ومتعددة السحابات.
التخصيص
قم بتخصيص قواعد WAF ومجموعات القواعد لتناسب متطلبات التطبيق الخاصة بك والقضاء على الإيجابيات الخاطئة.
ربط سياسة WAF لكل موقع خلف WAF الخاص بك للسماح بالتكوين الخاص بالموقع
إنشاء قواعد مخصصة لتناسب احتياجات التطبيق الخاص بك
الميزات
- حماية SQL من الحقن.
- حماية البرمجة النصية عبر المواقع.
- الحماية من هجمات الويب الشائعة الأخرى، مثل حقن الأوامر، وتهريب طلبات HTTP، وتقسيم استجابة HTTP، وتضمين الملفات عن بعد.
- الحماية من انتهاكات بروتوكول HTTP.
- الحماية من الحالات الشاذة لبروتوكول HTTP، مثل فقدان وكيل المستخدم المضيف وقبول الرؤوس.
- الحماية ضد برامج الزحف والماسحات الضوئية.
- الكشف عن التكوينات الخاطئة الشائعة للتطبيق (على سبيل المثال، Apache وIIS).
- حدود حجم الطلب القابلة للتكوين مع الحدود السفلية والعليا.
- تتيح لك قوائم الاستبعاد حذف سمات طلب معينة من تقييم WAF. مثال شائع هو الرموز المميزة المدرجة في Active Directory والتي يتم استخدامها لحقول المصادقة أو كلمة المرور.
- أنشئ قواعد مخصصة لتناسب الاحتياجات المحددة لتطبيقاتك.
- تصفية حركة المرور جغرافيا للسماح لبلدان/مناطق معينة أو منعها من الوصول إلى تطبيقاتك.
- قم بحماية تطبيقاتك من برامج التتبع باستخدام مجموعة قواعد تخفيف برامج التتبع.
- فحص JSON و XML في نص الطلب
سياسة وقواعد المنتدى
لتمكين جدار حماية تطبيق ويب على "بوابة التطبيق"، يجب إنشاء نهج WAF. هذه السياسة هي المكان الذي توجد فيه جميع القواعد المدارة والقواعد المخصصة والاستثناءات والتخصيصات الأخرى مثل حد تحميل الملفات.
يمكنك تكوين نهج WAF وإقران هذا النهج ببوابة تطبيق واحدة أو أكثر للحماية. تتكون سياسة WAF من نوعين من قواعد الأمان:
القواعد المخصصة التي تنشئها
مجموعات القواعد المدارة التي تمثل مجموعة من القواعد التي تمت إدارتها مسبقا بواسطة Azure
عند وجود كليهما، تتم معالجة القواعد المخصصة قبل معالجة القواعد في مجموعة قواعد مدارة. تتكون القاعدة من شرط مطابقة وأولوية وإجراء. أنواع الإجراءات المدعومة هي: ALLOW و BLOCK و LOG. يمكنك إنشاء نهج مخصص بالكامل يلبي متطلبات حماية التطبيق المحددة من خلال الجمع بين القواعد المدارة والمخصصة.
تتم معالجة القواعد داخل السياسة بترتيب أولوية. الأولوية هي عدد صحيح فريد يحدد ترتيب القواعد المراد معالجتها. تشير القيمة الصحيحة الأصغر إلى أولوية أعلى ويتم تقييم هذه القواعد قبل القواعد ذات القيمة الصحيحة الأعلى. بمجرد مطابقة قاعدة، يتم تطبيق الإجراء المقابل الذي تم تعريفه في القاعدة على الطلب. بمجرد معالجة مثل هذه المطابقة ، لا تتم معالجة القواعد ذات الأولويات الأقل بشكل أكبر.
يمكن أن يكون لتطبيق الويب الذي يتم تسليمه بواسطة بوابة التطبيق سياسة WAF مرتبطة به على المستوى العالمي أو على مستوى كل موقع أو على مستوى كل عنوان URI.
مجموعات القواعد الأساسية
تدعم بوابة التطبيق مجموعات قواعد متعددة، بما في ذلك CRS 3.2 وCRS 3.1 وCRS 3.0. تحمي هذه القواعد تطبيقات الويب من النشاط الضار.
لمزيد من المعلومات، راجع مجموعات قواعد CRS وقواعده جدار حماية تطبيق ويب.
قواعد مخصصة
تدعم بوابة التطبيق أيضا القواعد المخصصة. باستخدام القواعد المخصصة، يمكنك إنشاء القواعد الخاصة بك، والتي يتم تقييمها لكل طلب يمر عبر WAF. تتمتع هذه القواعد بأولوية أعلى من بقية القواعد في مجموعات القواعد المدارة. إذا تم استيفاء مجموعة من الشروط ، يتم اتخاذ إجراء للسماح أو الحظر.
يتوفر مشغل المطابقة الجغرافية الآن للقواعد المخصصة. راجع قواعد المطابقة الجغرافية المخصصة لمزيد من المعلومات.
لمزيد من المعلومات حول القواعد المخصصة، راجع القواعد المخصصة لبوابة التطبيق.
تخفيف الروبوت
يمكن تمكين مجموعة قواعد حماية Bot المدارة ل WAF الخاص بك لحظر أو تسجيل الطلبات من عناوين IP الضارة المعروفة ، إلى جانب مجموعة القواعد المدارة. يتم الحصول على عناوين IP من موجز Microsoft Threat Intelligence. تعمل Microsoft Intelligent Security Graph على تشغيل تحليل Microsoft الذكي للمخاطر وتستخدمها خدمات متعددة بما في ذلك Microsoft Defender للإنترنت.
إذا تم تمكين حماية Bot، تسجيل الطلبات الواردة التي تطابق عناوين IP الخاصة بعميل Malware Bot في سجل جدار الحماية، راجع مزيد من المعلومات أدناه. يمكنك الوصول إلى سجلات WAF من حساب التخزين أو مركز الأحداث أو تحليلات السجلات.
أوضاع WAF
يمكن تكوين WAF بوابة التطبيق لتعمل في الوضعين التاليين:
- وضع الكشف: يراقب ويسجل جميع تنبيهات التهديدات. يمكنك تشغيل تسجيل التشخيصات لبوابة التطبيق في قسم التشخيصات . يجب عليك أيضا التأكد من تحديد سجل WAF وتشغيله. لا يحظر جدار حماية تطبيق الويب الطلبات الواردة عند تشغيله في وضع الكشف.
- وضع المنع: يحظر الاختراقات والهجمات التي تكتشفها القواعد. يتلقى المهاجم استثناء "403 وصول غير مصرح به"، ويتم إغلاق الاتصال. يسجل وضع الوقاية مثل هذه الهجمات في سجلات WAF.
ملاحظة
يوصى بتشغيل WAF تم نشره حديثا في وضع الكشف لفترة قصيرة من الوقت في بيئة إنتاج. يوفر هذا الفرصة للحصول على سجلات جدار الحماية وتحديث أي استثناءات أو قواعد مخصصة قبل الانتقال إلى وضع المنع. يمكن أن يساعد ذلك في تقليل حدوث حركة مرور محظورة غير متوقعة.
محركات WAF
محرك جدار حماية تطبيق الويب Azure (WAF) هو المكون الذي يفحص حركة المرور ويحدد ما إذا كان الطلب يتضمن توقيعا يمثل هجوما محتملا أم لا. عند استخدام CRS 3.2 أو إصدار أحدث، يقوم WAF بتشغيل محرك WAF الجديد، والذي يمنحك أداء أعلى ومجموعة محسنة من الميزات. عند استخدام إصدارات سابقة من CRS، يتم تشغيل WAF على محرك قديم. لن تتوفر الميزات الجديدة إلا على محرك Azure WAF الجديد.
وضع التسجيل الشاذ
يحتوي OWASP على وضعين لتحديد ما إذا كان سيتم حظر حركة المرور: الوضع التقليدي ووضع تسجيل النقاط الشاذة.
في الوضع التقليدي، يتم اعتبار الزيارات التي تتطابق مع أي قاعدة بشكل مستقل عن أي تطابقات أخرى للقواعد. هذا الوضع سهل الفهم. لكن نقص المعلومات حول عدد القواعد التي تتطابق مع طلب معين يمثل قيدا على ذلك. لذلك ، تم تقديم وضع تسجيل الشذوذ. إنه الإعداد الافتراضي ل OWASP 3. خ.
في وضع تسجيل النقاط الشاذة، لا يتم حظر حركة المرور التي تطابق أي قاعدة على الفور عندما يكون جدار الحماية في وضع المنع. القواعد لها شدة معينة: حرجة أو خطأ أو تحذير أو إشعار. تؤثر هذه الخطورة على قيمة رقمية للطلب ، والتي تسمى درجة الشذوذ. على سبيل المثال، تساهم مطابقة قاعدة تحذير واحدة بنسبة 3 في النتيجة. تساهم مطابقة قاعدة حرجة واحدة في 5.
| الخطورة | القيمة |
|---|---|
| هام | 5 |
| خطأ | 4 |
| تحذير | 3 |
| لاحظ | 2 |
هناك عتبة 5 لنقاط الشذوذ لمنع حركة المرور. لذلك ، فإن مطابقة قاعدة حرجة واحدة كافية ل WAF بوابة التطبيق لحظر الطلب ، حتى في وضع المنع. لكن مطابقة قاعدة تحذير واحدة تزيد فقط من درجة الشذوذ بمقدار 3 ، وهو أمر لا يكفي في حد ذاته لمنع حركة المرور.
ملاحظة
تتضمن الرسالة التي يتم تسجيلها عندما تتطابق قاعدة WAF مع حركة المرور قيمة الإجراء "محظور". ولكن يتم حظر حركة المرور في الواقع فقط للحصول على درجة شذوذ من 5 أو أعلى. لمزيد من المعلومات، راجع استكشاف أخطاء جدار حماية تطبيق ويب (WAF) وإصلاحها لبوابة تطبيق Azure.
WAF monitoring
من المهم مراقبة صحة بوابة التطبيق الخاصة بك. يتم دعم مراقبة سلامة WAF والتطبيقات التي تحميها من خلال التكامل مع سجلات Microsoft Defender for Cloud و Azure Monitor و Azure Monitor.
Azure Monitor
يتم دمج سجلات بوابة التطبيق مع Azure Monitor. يتيح لك ذلك تتبع معلومات التشخيص ، بما في ذلك تنبيهات WAF وسجلاتها. يمكنك الوصول إلى هذه الإمكانية من خلال علامة التبويب " بيانات التشخيص " في مورد "بوابة التطبيق" في البوابة الإلكترونية أو مباشرة من خلال Azure Monitor. لمعرفة المزيد حول تمكين السجلات، راجع تشخيصات بوابة التطبيق.
Microsoft Defender للسحابة
يساعدك Defender for Cloud على منع التهديدات واكتشافها والاستجابة لها. فهو يوفر رؤية متزايدة والتحكم في أمان موارد Azure الخاصة بك. تم دمج بوابة التطبيق مع Defender for Cloud. يقوم Defender for Cloud بفحص بيئتك للكشف عن تطبيقات الويب غير المحمية. يمكن أن يوصي بوابة التطبيق WAF لحماية هذه الموارد الضعيفة. يمكنك إنشاء جدران الحماية مباشرة من Defender for Cloud. تم دمج مثيلات WAF هذه مع Defender for Cloud. يرسلون تنبيهات ومعلومات صحية إلى Defender for Cloud لإعداد التقارير.
Microsoft Sentinel
Microsoft Sentinel هو حل لإدارة معلومات الأمان والأحداث (SIEM) قابل للتطوير يعمل على السحابة واستجابة آلية لتنظيم الأمان (SOAR). يقدم Microsoft Sentinel تحليلات أمنية ذكية وتحليل ذكي للمخاطر عبر المؤسسة، ما يوفر حلًا واحدًا للكشف عن التنبيهات ورؤية التهديد وعمليات التتبع الاستباقي والاستجابة للتهديدات.
باستخدام مصنف أحداث جدار حماية Azure WAF المدمج، يمكنك الحصول على نظرة عامة حول أحداث الأمان على WAF الخاص بك. يتضمن ذلك الأحداث والقواعد المتطابقة والمحظورة وكل شيء آخر يتم تسجيله في سجلات جدار الحماية. انظر المزيد عن تسجيل الدخول أدناه.
Azure Monitor Workbook for WAF
يتيح هذا المصنف التصور المخصص لأحداث WAF ذات الصلة بالأمان عبر العديد من اللوحات القابلة للتصفية. وهو يعمل مع جميع أنواع WAF ، بما في ذلك بوابة التطبيق والباب الأمامي و CDN ، ويمكن تصفيته بناء على نوع WAF أو مثيل WAF محدد. استيراد عبر قالب ARM أو قالب المعرض. لنشر هذا المصنف، راجع مصنف WAF.
تسجيل الدخول
توفر بوابة التطبيق WAF تقارير مفصلة عن كل تهديد يكتشفه. تم دمج التسجيل مع سجلات Azure Diagnostics. يتم تسجيل التنبيهات بتنسيق .json. يمكن دمج هذه السجلات مع سجلات Azure Monitor.
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
"operationName": "ApplicationGatewayFirewall",
"time": "2017-03-20T15:52:09.1494499Z",
"category": "ApplicationGatewayFirewallLog",
"properties": {
{
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIp": "52.161.109.145",
"clientPort": "0",
"requestUri": "/",
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"ruleId": "920350",
"ruleGroup": "920-PROTOCOL-ENFORCEMENT",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
"data": "127.0.0.1",
"file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
"line": "791"
},
"hostname": "127.0.0.1",
"transactionId": "16861477007022634343"
"policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
"policyScope": "Global",
"policyScopeName": " Global "
}
}
}
بوابة التطبيق WAF SKU التسعير
تختلف نماذج التسعير عن وحدات SKU WAF_v1 WAF_v2. يرجى الاطلاع على صفحة تسعير بوابة التطبيق لمعرفة المزيد.
الجديد
لمعرفة الجديد في جدار حماية تطبيقات ويب Azure، راجع تحديثات Azure.
الخطوات التالية
- تعرف على المزيد حول القواعد المدارة من WAF
- مزيد من المعلومات حول القواعد المخصصة
- تعرف على جدار حماية تطبيقات الويب على Azure Front Door