Nejčastější dotazy k Azure Web Application Firewall ve službě Azure Front Door Service

Azure WAF je firewall webových aplikací, který pomáhá chránit webové aplikace před běžnými hrozbami, jako je injektáž SQL, skriptování mezi weby a další zneužití webu. Můžete definovat zásady WAF, které se skládají z kombinace vlastních a spravovaných pravidel pro řízení přístupu k webovým aplikacím.

Zásady Azure WAF je možné použít pro webové aplikace hostované na Application Gateway nebo Azure Front Door.

Azure Front Door je vysoce škálovatelná globálně distribuovaná síť pro doručování aplikací a obsahu. Azure WAF, když je integrovaný se službou Front Door, zastavuje útoky na odepření služby a cílené aplikace na hranici sítě Azure v blízkosti zdrojů útoků před vstupem do vaší virtuální sítě a nabízí ochranu bez obětování výkonu.

Front Door nabízí přesměrování zátěže TLS. WAF je nativně integrovaný se službou Front Door a po dešifrování může požadavek zkontrolovat.

Ano. Omezení IP adres můžete nakonfigurovat pro protokoly IPv4 a IPv6.

Snažíme se držet krok s měnícím se prostředím hrozeb. Po aktualizaci se nové pravidlo přidá do výchozí sady pravidel s novým číslem verze.

Většina nasazení zásad WAF se dokončí do 20 minut. Můžete očekávat, že se zásady projeví hned po dokončení aktualizace ve všech hraničních umístěních na celém světě.

Při integraci se službou Front Door je WAF globálním prostředkem. Stejná konfigurace platí ve všech umístěních služby Front Door.

Můžete nakonfigurovat seznam IP Access Control v back-endu tak, aby umožňoval pouze rozsahy odchozích IP adres služby Front Door pomocí značky služby Azure Front Door a odepíral jakýkoli přímý přístup z internetu. Značky služeb jsou podporované pro použití ve vaší virtuální síti. Kromě toho můžete ověřit, jestli je pro vaši webovou aplikaci platné pole hlavičky HTTP X-Forwarded-Host.

Při použití zásad WAF v Azure existují dvě možnosti. WAF se službou Azure Front Door je globálně distribuované řešení hraničního zabezpečení. WAF s Application Gateway je regionální vyhrazené řešení. Doporučujeme zvolit řešení na základě vašich celkových požadavků na výkon a zabezpečení. Další informace najdete v tématu Vyrovnávání zatížení pomocí sady pro doručování aplikací Azure.

Když povolíte WAF v existující aplikaci, je běžné, že se objeví falešně pozitivní detekce, kdy pravidla WAF detekují legitimní provoz jako hrozbu. Pokud chcete minimalizovat riziko dopadu na vaše uživatele, doporučujeme následující postup:

• Povolte WAF v režimu detekce, abyste zajistili, že WAF neblokuje požadavky, zatímco pracujete tímto procesem. Tento krok se doporučuje pro účely testování ve WAF.

  Důležité

  Tento proces popisuje, jak povolit WAF u nového nebo existujícího řešení, pokud je vaší prioritou minimalizovat narušení uživatelů vaší aplikace. Pokud jste pod útokem nebo bezprostřední hrozbou, můžete místo toho nasadit WAF v režimu prevence okamžitě a použít proces ladění k monitorování a ladění WAF v průběhu času. To pravděpodobně způsobí zablokování některého z vašich legitimních přenosů, a proto to doporučujeme provést pouze v případě, že jste ohroženi.

• Postupujte podle našich pokynů k ladění WAF. Tento proces vyžaduje povolení protokolování diagnostiky, pravidelnou kontrolu protokolů a přidání vyloučení pravidel a dalších zmírnění rizik.
• Celý tento proces opakujte a pravidelně kontrolujte protokoly, dokud nebudete spokojeni s tím, že se neblokuje žádný legitimní provoz. Celý proces může trvat několik týdnů. V ideálním případě byste po každé změně ladění měli vidět méně falešně pozitivních detekcí.
• Nakonec povolte WAF v režimu prevence.
• I po spuštění WAF v produkčním prostředí byste měli protokoly dál monitorovat, abyste identifikovali všechny další falešně pozitivní detekce. Pravidelné prohlížení protokolů vám také pomůže identifikovat skutečné pokusy o útok, které byly zablokovány.

V současné době jsou pravidla ModSec CRS 3.0, CRS 3.1 a CRS 3.2 podporována pouze s WAF na Application Gateway. Omezení rychlosti a pravidla výchozí sady pravidel spravovaných Azure se podporují jenom s WAF ve službě Azure Front Door.

Služba Azure Front Door je globálně distribuovaná na okrajích sítě Azure a dokáže absorbovat a geograficky izolovat velké objemy útoků. Můžete vytvořit vlastní zásady WAF, které automaticky blokují a omezují četnost útoků HTTP, které mají známé podpisy. Kromě toho můžete ve virtuální síti, ve které jsou nasazené back-endy, povolit ochranu před útoky DDoS Network Protection. Zákazníci služby Azure DDoS Protection získají další výhody, včetně ochrany nákladů, záruky SLA a přístupu k odborníkům z týmu rychlé reakce DDoS, kteří můžou během útoku okamžitě pomoci. Další informace najdete v tématu Ochrana před útoky DDoS ve službě Front Door.

Při zpracování požadavků různými servery služby Front Door se nemusí okamžitě zobrazit požadavky blokované limitem rychlosti. Další informace najdete v tématech Omezení rychlosti a Servery Služby Front Door.

Front Door WAF podporuje následující typy obsahu:

• DRS 2.0

  Spravovaná pravidla

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Vlastní pravidla

  • application/x-www-form-urlencoded

• DRS 1.x

  Spravovaná pravidla

  • application/x-www-form-urlencoded
  • text/prostý text

  Vlastní pravidla

  • application/x-www-form-urlencoded

Ne, nemůžeš. Profil AFD a zásady WAF musí být ve stejném předplatném.

Další kroky

• Přečtěte si o azure Web Application Firewall.
• Přečtěte si další informace o službě Azure Front Door.