Firewall de aplicaciones Web de Azure Application GatewayWeb application firewall for Azure Application Gateway

Azure Application Gateway ofrece un firewall de aplicaciones web (WAF) que proporciona una protección centralizada de las aplicaciones web contra vulnerabilidades de seguridad comunes.Azure Application Gateway offers a web application firewall (WAF) that provides centralized protection of your web applications from common exploits and vulnerabilities. Las aplicaciones Web se aplica cada vez más ataques malintencionados que aprovechan vulnerabilidades conocidas comúnmente.Web applications are increasingly targeted by malicious attacks that exploit commonly known vulnerabilities. Inyección de código SQL y el scripting entre sitios se encuentran entre los ataques más comunes.SQL injection and cross-site scripting are among the most common attacks.

Impedir tales ataques en el código de aplicación es un desafío.Preventing such attacks in application code is challenging. Puede requerir tareas rigurosas de mantenimiento, aplicación de revisiones y supervisión en varias capas de la topología de la aplicación.It can require rigorous maintenance, patching, and monitoring at multiple layers of the application topology. Un firewall de aplicaciones web centralizado facilita la administración de seguridad mucho más sencillo.A centralized web application firewall helps make security management much simpler. Un WAF también proporciona a los administradores de aplicación mayor protección de protección contra amenazas e intrusiones.A WAF also gives application administrators better assurance of protection against threats and intrusions.

Una solución WAF puede reaccionar ante una amenaza de seguridad más rápida aplicando revisiones que aborden una vulnerabilidad conocida, en lugar de proteger cada aplicación web individual de forma centralizada.A WAF solution can react to a security threat faster by centrally patching a known vulnerability, instead of securing each individual web application. Puertas de enlace de aplicaciones existentes pueden convertirse fácilmente en puertas de enlace de aplicaciones basadas en la pared de incendios.Existing application gateways can easily be converted into fire wall-enabled application gateways.

El WAF de Application Gateway se basa en Core Rule Set (CRS) 3.0 o 2.2.9 de Open Web Application Security Project (OWASP).The Application Gateway WAF is based on Core Rule Set (CRS) 3.0 or 2.2.9 from the Open Web Application Security Project (OWASP). El WAF se actualiza automáticamente para incluir la protección contra vulnerabilidades de nuevo, no necesitan configuraciones adicionales.The WAF automatically updates to include protection against new vulnerabilities, with no additional configuration needed.

Diagrama de WAF de puerta de enlace de aplicaciones

Instancia de Application Gateway funciona como un controlador de entrega de aplicaciones (ADC).Application Gateway operates as an application delivery controller (ADC). Ofrece terminación de la capa de Sockets seguros (SSL), afinidad de sesión basada en cookies, distribución de carga round robin, enrutamiento basado en contenido, posibilidad de hospedar varios sitios Web y las mejoras de seguridad.It offers Secure Sockets Layer (SSL) termination, cookie-based session affinity, round-robin load distribution, content-based routing, ability to host multiple websites, and security enhancements.

Mejoras de seguridad de puerta de enlace de aplicaciones incluyen la administración de directivas SSL y SSL de extremo a extremo admite.Application Gateway security enhancements include SSL policy management and end-to-end SSL support. Se refuerza la seguridad de la aplicación mediante la integración de WAF en Application Gateway.Application security is strengthened by WAF integration into Application Gateway. La combinación protege las aplicaciones web contra las vulnerabilidades más comunes.The combination protects your web applications against common vulnerabilities. Y proporciona una ubicación central para administrar y configurar.And it provides an easy-to-configure central location to manage.

VentajasBenefits

Esta sección describen las ventajas principales que proporcionan Application Gateway y su WAF.This section describes the core benefits that Application Gateway and its WAF provide.

ProtecciónProtection

  • Proteja sus aplicaciones web frente a vulnerabilidades web y ataques sin modificación del código de back-end.Protect your web applications from web vulnerabilities and attacks without modification to back-end code.

  • Proteger varias aplicaciones web al mismo tiempo.Protect multiple web applications at the same time. Puede hospedar una instancia de Application Gateway de hasta 100 sitios Web que están protegidos por un firewall de aplicaciones web.An instance of Application Gateway can host of up to 100 websites that are protected by a web application firewall.

SupervisiónMonitoring

  • Supervisar los ataques contra sus aplicaciones web mediante el uso de un registro de WAF en tiempo real.Monitor attacks against your web applications by using a real-time WAF log. El registro se integra con Azure Monitor para realizar un seguimiento de las alertas de WAF y supervisar con facilidad las tendencias.The log is integrated with Azure Monitor to track WAF alerts and easily monitor trends.

  • El WAF de Application Gateway se integra con Azure Security Center.The Application Gateway WAF is integrated with Azure Security Center. Security Center proporciona una visión central del estado de seguridad de todos los recursos de Azure.Security Center provides a central view of the security state of all your Azure resources.

PersonalizaciónCustomization

  • Puede personalizar las reglas de WAF y grupos de reglas para satisfacer las necesidades de su aplicación y eliminar los falsos positivos.You can customize WAF rules and rule groups to suit your application requirements and eliminate false positives.

CaracterísticasFeatures

  • Protección de inyección de código SQL.SQL-injection protection.
  • Protección de scripting entre sitios.Cross-site scripting protection.
  • Protección frente a otros ataques web comunes, como inyección de comandos, contrabando de división de respuestas HTTP de solicitudes HTTP e inclusión de archivos remoto.Protection against other common web attacks, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion.
  • Protección contra infracciones del protocolo HTTP.Protection against HTTP protocol violations.
  • Protección contra anomalías del protocolo HTTP, como la falta de host de agente de usuario y los encabezados de aceptación.Protection against HTTP protocol anomalies, such as missing host user-agent and accept headers.
  • Protección contra bots, rastreadores y escáneres.Protection against bots, crawlers, and scanners.
  • Detección de errores comunes (por ejemplo, Apache e IIS).Detection of common application misconfigurations (for example, Apache and IIS).
  • Límites de tamaño configurable de la solicitud con los límites inferior y superior.Configurable request size limits with lower and upper bounds.
  • Las listas de exclusión le permiten omitir determinados atributos de la solicitud de una evaluación de WAF.Exclusion lists let you omit certain request attributes from a WAF evaluation. Un ejemplo común es insertada por Active Directory los tokens que se usan para la autenticación o campos de contraseña.A common example is Active Directory-inserted tokens that are used for authentication or password fields.

Conjuntos de reglas principalesCore rule sets

Application Gateway admite dos conjuntos de reglas: CRS 3.0 y CRS 2.2.9.Application Gateway supports two rule sets, CRS 3.0 and CRS 2.2.9. Estas reglas protegen sus aplicaciones web frente a actividades malintencionadas.These rules protect your web applications from malicious activity.

La puerta de enlace de aplicaciones WAF viene preconfigurado con CRS 3.0 de forma predeterminada.The Application Gateway WAF comes preconfigured with CRS 3.0 by default. Pero puede elegir usar CRS 2.2.9 en su lugar.But you can choose to use CRS 2.2.9 instead. CRS 3.0 permite reducir los falsos positivos en comparación con CRS 2.2.9.CRS 3.0 offers reduced false positives compared with CRS 2.2.9. También puede Personalizar reglas para satisfacer sus necesidades.You can also customize rules to suit your needs.

El Firewall de aplicaciones protege contra las vulnerabilidades web siguientes:The WAF protects against the following web vulnerabilities:

  • Ataques de inyección de SQLSQL-injection attacks
  • Ataques de scripts entre sitiosCross-site scripting attacks
  • Otros ataques comunes, como la inyección de comandos, HTTP solicitan contrabando, división de la respuesta HTTP y la inclusión de archivo remotoOther common attacks, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion
  • Infracciones del protocolo HTTPHTTP protocol violations
  • Anomalías del protocolo HTTP, como la falta de hospedan de agente de usuario y los encabezados de aceptaciónHTTP protocol anomalies, such as missing host user-agent and accept headers
  • Los bots, rastreadores y escáneresBots, crawlers, and scanners
  • Aplicación las configuraciones erróneas comunes (por ejemplo, Apache e IIS)Common application misconfigurations (for example, Apache and IIS)

OWASP CRS 3.0OWASP CRS 3.0

CRS 3.0 incluye 13 grupos de reglas, tal como se muestra en la tabla siguiente.CRS 3.0 includes 13 rule groups, as shown in the following table. Cada grupo contiene varias reglas, que se pueden deshabilitar.Each group contains multiple rules, which can be disabled.

Grupo de reglasRule group DESCRIPCIÓNDescription
REQUEST-911-METHOD-ENFORCEMENTREQUEST-911-METHOD-ENFORCEMENT Bloquear métodos (PUT, PATCH)Lock-down methods (PUT, PATCH)
REQUEST-913-SCANNER-DETECTIONREQUEST-913-SCANNER-DETECTION Protegerse frente a escáneres de puertos y entornosProtect against port and environment scanners
REQUEST-920-PROTOCOL-ENFORCEMENTREQUEST-920-PROTOCOL-ENFORCEMENT Protéjase de protocolo y problemas de codificaciónProtect against protocol and encoding issues
REQUEST-921-PROTOCOL-ATTACKREQUEST-921-PROTOCOL-ATTACK Protección contra la inyección de encabezado, contrabando de solicitudes y división de respuestasProtect against header injection, request smuggling, and response splitting
REQUEST-930-APPLICATION-ATTACK-LFIREQUEST-930-APPLICATION-ATTACK-LFI Protección frente a ataques de archivo y ruta de accesoProtect against file and path attacks
REQUEST-931-APPLICATION-ATTACK-RFIREQUEST-931-APPLICATION-ATTACK-RFI Protección frente a ataques de inclusión (RFI) del archivo remotoProtect against remote file inclusion (RFI) attacks
REQUEST-932-APPLICATION-ATTACK-RCEREQUEST-932-APPLICATION-ATTACK-RCE Protegerse contra ataques de ejecución remota de códigoProtect again remote code execution attacks
REQUEST-933-APPLICATION-ATTACK-PHPREQUEST-933-APPLICATION-ATTACK-PHP Protección frente a ataques de inyección en PHPProtect against PHP-injection attacks
REQUEST-941-APPLICATION-ATTACK-XSSREQUEST-941-APPLICATION-ATTACK-XSS Protegerse de ataques de scripting entre sitiosProtect against cross-site scripting attacks
REQUEST-942-APPLICATION-ATTACK-SQLIREQUEST-942-APPLICATION-ATTACK-SQLI Protección frente a ataques de inyección de código SQLProtect against SQL-injection attacks
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATIONREQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Protección frente a ataques de fijación de sesiónProtect against session-fixation attacks

OWASP CRS 2.2.9OWASP CRS 2.2.9

CRS 2.2.9 incluye 10 grupos de reglas, tal como se muestra en la tabla siguiente.CRS 2.2.9 includes 10 rule groups, as shown in the following table. Cada grupo contiene varias reglas, que se pueden deshabilitar.Each group contains multiple rules, which can be disabled.

Grupo de reglasRule group DESCRIPCIÓNDescription
crs_20_protocol_violationscrs_20_protocol_violations Proteger contra infracciones de protocolo (por ejemplo, los caracteres no válidos o una operación GET con un cuerpo de solicitud)Protect against protocol violations (such as invalid characters or a GET with a request body)
crs_21_protocol_anomaliescrs_21_protocol_anomalies Protegerse frente a la información de encabezado incorrectoProtect against incorrect header information
crs_23_request_limitscrs_23_request_limits Proteger frente a argumentos o archivos que superan las limitacionesProtect against arguments or files that exceed limitations
crs_30_http_policycrs_30_http_policy Protegerse frente a métodos restringidos, encabezados y tipos de archivoProtect against restricted methods, headers, and file types
crs_35_bad_robotscrs_35_bad_robots Proteger frente a escáneres y rastreadores webProtect against web crawlers and scanners
crs_40_generic_attackscrs_40_generic_attacks Proteger contra ataques genéricos (por ejemplo, la fijación de sesión, inclusión de archivo remoto e inyección en PHP)Protect against generic attacks (such as session fixation, remote file inclusion, and PHP injection)
crs_41_sql_injection_attackscrs_41_sql_injection_attacks Protección frente a ataques de inyección de código SQLProtect against SQL-injection attacks
crs_41_xss_attackscrs_41_xss_attacks Protegerse de ataques de scripting entre sitiosProtect against cross-site scripting attacks
crs_42_tight_securitycrs_42_tight_security Protección frente a ataques de recorrido de la ruta de accesoProtect against path-traversal attacks
crs_45_trojanscrs_45_trojans Protegerse frente a troyanos de puerta traseraProtect against backdoor trojans

Modos de WAFWAF modes

El WAF de Application Gateway puede configurarse para ejecutarse en los dos modos siguientes:The Application Gateway WAF can be configured to run in the following two modes:

  • Modo de detección: Supervisa y registra todas las alertas de amenaza.Detection mode: Monitors and logs all threat alerts. Activar el registro de diagnósticos para Application Gateway en el diagnósticos sección.You turn on logging diagnostics for Application Gateway in the Diagnostics section. También hay que asegurarse de que el registro de WAF está seleccionado y activado.You must also make sure that the WAF log is selected and turned on. Firewall de aplicaciones Web no bloquea las solicitudes entrantes cuando se está ejecutando en modo de detección.Web application firewall doesn't block incoming requests when it's operating in Detection mode.
  • Modo de prevención: Las intrusiones de bloques y los ataques que las reglas de detección.Prevention mode: Blocks intrusions and attacks that the rules detect. El atacante recibe una excepción "acceso no autorizado 403", y se termina la conexión.The attacker receives a "403 unauthorized access" exception, and the connection is terminated. Modo de prevención registra estos ataques en los registros de WAF.Prevention mode records such attacks in the WAF logs.

Modo de puntuación de anomalíasAnomaly Scoring mode

OWASP tiene dos modos para decidir si va a bloquear el tráfico: Modo tradicional y modo de puntuación de anomalías.OWASP has two modes for deciding whether to block traffic: Traditional mode and Anomaly Scoring mode.

En el modo tradicional, el tráfico que coincide con ninguna regla se considera independientemente de las otras coincidencias de regla.In Traditional mode, traffic that matches any rule is considered independently of any other rule matches. Este modo es fácil de entender.This mode is easy to understand. Pero la falta de información sobre cuántas reglas coinciden con una solicitud específica es una limitación.But the lack of information about how many rules match a specific request is a limitation. Por lo tanto, se introdujo el modo de puntuación de anomalías.So, Anomaly Scoring mode was introduced. Es el valor predeterminado de 3 OWASP. x.It's the default for OWASP 3.x.

En el modo de puntuación de anomalías, el tráfico que coincide con cualquier regla no se bloquea inmediatamente cuando el firewall está en modo de prevención.In Anomaly Scoring mode, traffic that matches any rule isn't immediately blocked when the firewall is in Prevention mode. Las reglas tienen una gravedad determinada: Crítica, Error, advertencia, o aviso.Rules have a certain severity: Critical, Error, Warning, or Notice. Que la gravedad afecta a un valor numérico para la solicitud, que se llama a la puntuación de anomalías.That severity affects a numeric value for the request, which is called the Anomaly Score. Por ejemplo, una advertencia regla de coincidencia contribuye 3 a la puntuación.For example, one Warning rule match contributes 3 to the score. Una crítico regla de coincidencia contribuye a 5.One Critical rule match contributes 5.

SeveritySeverity ValorValue
FundamentalCritical 55
ErrorError 44
AdvertenciaWarning 33
AvisoNotice 22

Hay un umbral de 5 para la puntuación de anomalías para bloquear el tráfico.There's a threshold of 5 for the Anomaly Score to block traffic. Por lo tanto, una sola crítico coincidencia de regla es suficiente para la puerta de enlace de aplicaciones WAF bloquear una solicitud, incluso en modo de prevención.So, a single Critical rule match is enough for the Application Gateway WAF to block a request, even in Prevention mode. Pero una advertencia regla de coincidencia solo aumenta la anomalía puntuación por 3, que no es suficiente por sí solo para bloquear el tráfico.But one Warning rule match only increases the Anomaly Score by 3, which isn't enough by itself to block the traffic.

Nota

El mensaje que se registra cuando una regla de WAF coincide con el tráfico incluye el valor de la acción "Bloqueado".The message that's logged when a WAF rule matches traffic includes the action value "Blocked." Pero el tráfico es realmente solo bloqueadas de una puntuación de anomalía de 5 o superior.But the traffic is actually only blocked for an Anomaly Score of 5 or higher.

Supervisión de WAFWAF monitoring

Es importante supervisar el estado de la instancia de Application Gateway.Monitoring the health of your application gateway is important. Supervisión del estado de su WAF y las aplicaciones que protege es compatible con la integración con Azure Security Center, Azure Monitor, y los registros de Azure Monitor.Monitoring the health of your WAF and the applications that it protects is supported by integration with Azure Security Center, Azure Monitor, and Azure Monitor logs.

Diagrama de diagnóstico de WAF de Application Gateway

Azure MonitorAzure Monitor

Registros de puerta de enlace de aplicaciones se integran con Azure Monitor.Application Gateway logs are integrated with Azure Monitor. Esto le permite realizar un seguimiento de información de diagnóstico, incluidos los registros y alertas de WAF.This allows you to track diagnostic information, including WAF alerts and logs. Puede obtener acceso a esta funcionalidad en el diagnósticos ficha en el recurso de Application Gateway en el portal o directamente a través de Azure Monitor.You can access this capability on the Diagnostics tab in the Application Gateway resource in the portal or directly through Azure Monitor. Para más información acerca de cómo habilitar los registros, consulte diagnósticos de Application Gateway.To learn more about enabling logs, see Application Gateway diagnostics.

Azure Security CenterAzure Security Center

Security Center ayuda a evitar, detectar y responder a amenazas.Security Center helps you prevent, detect, and respond to threats. Proporciona mayor visibilidad y control sobre la seguridad de los recursos de Azure.It provides increased visibility into and control over the security of your Azure resources. Application Gateway es integrados con Security Center.Application Gateway is integrated with Security Center. Security Center examina su entorno para detectar aplicaciones web no protegidas.Security Center scans your environment to detect unprotected web applications. Puede recomendar WAF de Application Gateway para proteger estos recursos vulnerables.It can recommend Application Gateway WAF to protect these vulnerable resources. Cree los servidores de seguridad directamente desde Security Center.You create the firewalls directly from Security Center. Estas instancias de WAF se integran con Security Center.These WAF instances are integrated with Security Center. Envían alertas e información de estado al centro de seguridad para los informes.They send alerts and health information to Security Center for reporting.

Ventana de información general de Security Center

RegistroLogging

WAF de Application Gateway ofrece informes detallados sobre cada amenaza que detecte.Application Gateway WAF provides detailed reporting on each threat that it detects. El registro se integra con los registros de diagnóstico de Azure.Logging is integrated with Azure Diagnostics logs. Las alertas se registran en el formato JSON.Alerts are recorded in the .json format. Estos registros pueden integrarse con los registros de Azure Monitor.These logs can be integrated with Azure Monitor logs.

Registros de diagnóstico de puerta de enlace de aplicaciones de windows

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    "instanceId": "ApplicationGatewayRole_IN_0",
    "clientIp": "104.210.252.3",
    "clientPort": "4835",
    "requestUri": "/?a=%3Cscript%3Ealert(%22Hello%22);%3C/script%3E",
    "ruleSetType": "OWASP",
    "ruleSetVersion": "3.0",
    "ruleId": "941320",
    "message": "Possible XSS Attack Detected - HTML Tag Handler",
    "action": "Blocked",
    "site": "Global",
    "details": {
      "message": "Warning. Pattern match \"<(a|abbr|acronym|address|applet|area|audioscope|b|base|basefront|bdo|bgsound|big|blackface|blink|blockquote|body|bq|br|button|caption|center|cite|code|col|colgroup|comment|dd|del|dfn|dir|div|dl|dt|em|embed|fieldset|fn|font|form|frame|frameset|h1|head|h ...\" at ARGS:a.",
      "data": "Matched Data: <script> found within ARGS:a: <script>alert(\\x22hello\\x22);</script>",
      "file": "rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf",
      "line": "865"
    }
  }
} 

Precios de las SKU de WAF de Application GatewayApplication Gateway WAF SKU pricing

El WAF de Application Gateway está disponible en una nueva SKU.The Application Gateway WAF is available under a new a SKU. Esta SKU está disponible solo en el modelo de aprovisionamiento de Azure Resource Manager, no en el modelo de implementación clásica.This SKU is available only in the Azure Resource Manager provisioning model, not in the classic deployment model. Además, la SKU de WAF está disponible sólo en tamaños de instancia de Application Gateway medianas y grandes.Additionally, the WAF SKU comes only in medium and large Application Gateway instance sizes. Todos los límites de Application Gateway también se aplican a la SKU de WAF.All the limits for Application Gateway also apply to the WAF SKU.

Los precios se basan en un cargo por hora de instancia de puerta de enlace y una carga de procesamiento de datos.Pricing is based on an hourly gateway instance charge and a data-processing charge. Precios de Application Gateway difiere de la SKU de WAF de cargos de la SKU estándares.Application Gateway pricing for the WAF SKU differs from standard SKU charges. Los cargos de procesamiento de datos son los mismos.Data-processing charges are the same. No hay ningún cargo por regla o un grupo de reglas.There are no per-rule or rule-group charges. Puede proteger varias aplicaciones web detrás del mismo firewall de aplicación web.You can protect multiple web applications behind the same web application firewall. No se cobra por admitir varias aplicaciones.You aren't charged for supporting multiple applications.

Pasos siguientesNext steps

Consulte cómo configurar firewall de aplicaciones web en Application Gateway.See How to configure web application firewall on Application Gateway.