Nejčastější dotazy k Azure Web Application Firewall na Azure Front Door Service

Azure WAF je firewall webových aplikací, který pomáhá chránit webové aplikace před běžnými hrozbami, jako jsou SQL injektáž, skriptování mezi weby a další zneužití webu. Můžete definovat zásady WAF, které se skládají z kombinace vlastních a spravovaných pravidel pro řízení přístupu k webovým aplikacím.

Zásady Azure WAF je možné použít u webových aplikací hostovaných na Application Gateway nebo Azure Front Doors.

Azure Front Door je vysoce škálovatelná globálně distribuovaná aplikace a síť pro doručování obsahu. Azure WAF, když je integrovaný s Front Door, zastaví útoky na odepření služeb a cílené útoky na hraniční síť Azure v blízkosti zdrojů útoků před tím, než vstoupí do vaší virtuální sítě, nabízí ochranu bez snížení výkonu.

Front Door nabízí snižování zátěže protokolu TLS. WAF je nativně integrovaný Front Door a může zkontrolovat požadavek po dešifrování.

Ano. Pro IPv4 a IPv6 můžete nakonfigurovat omezení IP adres.

Snažíme se držet dál se měnícím se prostředím hrozeb. Po aktualizaci se nové pravidlo přidá do výchozí sady pravidel s novým číslem verze.

Většina nasazení zásad WAF se dokončí do 20 minut. Můžete očekávat, že se zásady projeví, jakmile se aktualizace dokončí napříč všemi hraničními umístěními po celém světě.

Při integrování s Front Door je WAF globálním zdrojem informací. Stejná konfigurace platí pro všechna Front Door umístění.

Na back-endu Access Control nakonfigurovat seznam IP adres tak, aby povoll jenom rozsahy odchozích IP adres Front Door odepřel jakýkoli přímý přístup z internetu. Značky služeb jsou podporované pro použití ve virtuální síti. Kromě toho můžete ověřit platnost pole hlavičky HTTP X-Forwarded-Host pro vaši webovou aplikaci.

Při použití zásad WAF v Azure existují dvě možnosti. WAF s Azure Front Door je globálně distribuované řešení zabezpečení hraničních zařízení. WAF s Application Gateway je oblastní vyhrazené řešení. Doporučujeme zvolit řešení na základě celkového výkonu a požadavků na zabezpečení. Další informace najdete v tématu Vyrovnávání zatížení pomocí sady pro doručování aplikací Azure.

Když firewall webových aplikací povolíte u existující aplikace, je běžné mít falešně pozitivní detekce, kdy pravidla WAF detekují legitimní provoz jako hrozbu. Pokud chcete minimalizovat riziko dopadu na vaše uživatele, doporučujeme následující postup:

• Povolte WAF v režimu detekce a ujistěte se, že WAF během tohoto procesu neblokuje požadavky.

  Důležité

  Tento proces popisuje, jak povolit WAF u nového nebo existujícího řešení, pokud je vaší prioritou minimalizace rizika pro uživatele vaší aplikace. Pokud jste útokem nebo hrozbou, možná budete chtít WAF nasadit v režimu prevence okamžitě a pomocí procesu ladění monitorovat a ladit WAF v průběhu času. To pravděpodobně způsobí blokování některých legitimních přenosů, a proto to doporučujeme, jenom když jste v ohrožení.

• Postupujte podle našich pokynů pro ladění WAF. Tento proces vyžaduje povolení protokolování diagnostiky, pravidelná kontrola protokolů a přidání vyloučení pravidel a další omezení rizik.
• Celý tento postup opakujte a pravidelně kontrolujte protokoly, dokud budete spokojeni s tím, že se žádný legitimní provoz neblokuje. Celý proces může trvat několik týdnů. V ideálním případě byste po každé změně ladění měli vidět méně falešně pozitivních detekcí.
• Nakonec povolte WAF v režimu prevence.
• I po spuštění WAF v produkčním prostředí byste měli protokoly monitorovat a identifikovat případné další falešně pozitivní detekce. Pravidelné kontrolování protokolů vám také pomůže identifikovat všechny skutečné pokusy o útok, které byly zablokovány.

V současné době se pravidla ModSec CRS 2.2.9, CRS 3.0 a CRS 3.1 podporují jenom s WAF na Application Gateway. Omezení rychlosti, geografické filtrování a výchozí pravidla sady pravidel spravovaná Azure se podporují jenom u WAF na Azure Front Door.

Globálně distribuované na hranách sítě Azure Azure Front Door mohou absorbovat a geograficky izolovat rozsáhlé útoky. Můžete vytvořit vlastní zásady WAF, které automaticky blokují a omezují rychlost útoků http(s) se známými podpisy. Kromě toho můžete povolit DDoS Protection Standard ve virtuální síti, ve které jsou nasazené back-endsy. Azure DDoS Protection standardu můžou získat další výhody, včetně ochrany nákladů, záruky SLA a přístupu k odborníkům od týmu DDoS Rapid Response Team pro okamžitou pomoc během útoku. Další informace najdete v tématu Ochrana před DDoS na Front Door.

Pravidlo omezení rychlosti může omezit neobvykle vysoký provoz z jakékoli IP adresy klienta. Můžete nakonfigurovat prahovou hodnotu počtu povolených webových požadavků z IP adresy klienta během jedné minuty nebo pěti minut. Pro podrobné řízení rychlosti je možné omezení rychlosti kombinovat s dalšími podmínkami shody, jako je porovnávání parametrů HTTP(S).

Požadavky od stejného klienta často přicházejí na stejný Front Door serveru. V takovém případě se okamžitě zablokují další požadavky nad prahovou hodnotu.

Je však možné, že požadavky od stejného klienta mohou přirazit na jiný server Front Door, který ještě ne refreshed čítač omezení přenosové rychlosti. Klient může například otevřít nové připojení pro každý požadavek a prahová hodnota je nízká. V tomto případě první požadavek na nový server Front Door projde kontrolu omezení rychlosti. Prahová hodnota limitu přenosové rychlosti je obvykle nastavená na vysokou úroveň, aby se bránit útokům na odepření služeb z jakékoli IP adresy klienta. U velmi nízké prahové hodnoty se mohou zobrazit další požadavky nad prahovou hodnotou, které se prochytá.

Front Door WAF podporuje následující typy obsahu:

• DRS 2.0

  Spravovaná pravidla

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Vlastní pravidla

  • application/x-www-form-urlencoded

• DRS 1.x

  Spravovaná pravidla

  • application/x-www-form-urlencoded
  • text / prostý text

  Vlastní pravidla

  • application/x-www-form-urlencoded

Další kroky

• Další informace o Azure Web Application Firewall.
• Další informace o Azure Front Door.