Firewall de aplicaciones web en Azure en Azure Front DoorAzure Web Application Firewall on Azure Front Door

Firewall de aplicaciones web (WAF) en Azure Front Door proporciona protección centralizada para las aplicaciones web.Azure Web Application Firewall (WAF) on Azure Front Door provides centralized protection for your web applications. WAF defiende los servicios web frente a vulnerabilidades comunes.WAF defends your web services against common exploits and vulnerabilities. Mantiene su servicio de alta disponibilidad para los usuarios y le ayuda a cumplir los requisitos de cumplimiento.It keeps your service highly available for your users and helps you meet compliance requirements.

WAF en Front Door es una solución global y centralizada.WAF on Front Door is a global and centralized solution. Está implementado en ubicaciones de perímetro de red de Azure de todo el mundo.It's deployed on Azure network edge locations around the globe. Las aplicaciones web habilitadas para WAF inspeccionan todas las solicitudes entrantes entregadas por Front Door en el perímetro de red.WAF enabled web applications inspect every incoming request delivered by Front Door at the network edge.

WAF evita los ataques malintencionados cerca de los orígenes de ataques antes de que entren en la red virtual.WAF prevents malicious attacks close to the attack sources, before they enter your virtual network. El usuario obtiene protección a gran escala sin sacrificar el rendimiento.You get global protection at scale without sacrificing performance. Una directiva WAF se vincula fácilmente a cualquier perfil de Front Door de la suscripción.A WAF policy easily links to any Front Door profile in your subscription. Las nuevas reglas se implementan en cuestión de minutos, por lo que puede responder rápidamente a los cambios en los patrones de amenazas.New rules can be deployed within minutes, so you can respond quickly to changing threat patterns.

Firewall de aplicaciones web de Azure

Reglas y directiva de WAFWAF policy and rules

Puede configurar una directiva de WAF y asociarla a uno o varios servidores front-end de Front Door para estar protegido.You can configure a WAF policy and associate that policy to one or more Front Door front-ends for protection. Una directiva de WAF consta de dos tipos de reglas de seguridad:A WAF policy consists of two types of security rules:

  • Reglas personalizadas que crea el cliente.custom rules that are authored by the customer.

  • Conjuntos de reglas administrados que son una colección del conjunto de reglas configurado previamente y administrado por Azure.managed rule sets that are a collection of Azure-managed pre-configured set of rules.

Cuando ambos están presentes, las reglas personalizadas se procesan antes de procesar las reglas de un conjunto de reglas administrado.When both are present, custom rules are processed before processing the rules in a managed rule set. Una regla está formada por una condición de coincidencia, una prioridad y una acción.A rule is made of a match condition, a priority, and an action. Los tipos de acción que se admiten son los siguientes: ALLOW, BLOCK, LOG y REDIRECT.Action types supported are: ALLOW, BLOCK, LOG, and REDIRECT. Puede crear una directiva totalmente personalizada que cumpla sus requisitos específicos de protección de aplicaciones al combinar reglas personalizadas y administradas.You can create a fully customized policy that meets your specific application protection requirements by combining managed and custom rules.

Las reglas de una directiva se procesan en un orden de prioridad.Rules within a policy are processed in a priority order. La prioridad es un entero único que describe el orden de las reglas que se van a procesar.Priority is a unique integer that defines the order of rules to process. El valor entero más pequeño indica una prioridad más alta y estas reglas se evalúan antes que las reglas con un valor entero más alto.Smaller integer value denotes a higher priority and those rules are evaluated before rules with a higher integer value. Una vez que una regla coincide, la acción correspondiente que se ha definido en la regla se aplica a la solicitud.Once a rule is matched, the corresponding action that was defined in the rule is applied to the request. Cuando se procesa esa coincidencia, ya no se procesan más reglas con prioridades inferiores.Once such a match is processed, rules with lower priorities aren't processed further.

Una aplicación web entregada por Front Door solo puede tener una directiva de WAF asociada a la vez.A web application delivered by Front Door can have only one WAF policy associated with it at a time. En cambio, puede tener una configuración de Front Door sin ninguna directiva de WAF asociada con ella.However, you can have a Front Door configuration without any WAF policies associated with it. Si una directiva de WAF está presente, se replica a todas nuestras ubicaciones perimetrales para garantizar que haya coherencia en las directivas de seguridad en todo el mundo.If a WAF policy is present, it's replicated to all of our edge locations to ensure consistent security policies across the world.

Modos de WAFWAF modes

La directiva WAF se puede configurar para ejecutarse en los siguientes dos modos:WAF policy can be configured to run in the following two modes:

  • Modo de detección: cuando se ejecuta en el modo de detección, WAF no realiza ninguna acción que no sea supervisar y registrar la solicitud y sus reglas de WAF coincidentes en los registros de WAF.Detection mode: When run in detection mode, WAF doesn't take any other actions other than monitors and logs the request and its matched WAF rule to WAF logs. Puede activar los diagnósticos de registro para Front Door.You can turn on logging diagnostics for Front Door. Vaya a la sección Diagnostics del portal.When you use the portal, go to the Diagnostics section.

  • Modo de prevención: En el modo de prevención, WAF realiza la acción especificada si una solicitud coincide con una regla.Prevention mode: In prevention mode, WAF takes the specified action if a request matches a rule. Si se encuentra una coincidencia, no se evalúa ninguna otra regla con prioridad más baja.If a match is found, no further rules with lower priority are evaluated. Todas las solicitudes coincidentes también se registran en los registros de WAF.Any matched requests are also logged in the WAF logs.

Acciones de WAFWAF actions

Los clientes de WAF pueden optar por ejecutar desde una de las acciones cuando una solicitud coincide con las condiciones de una regla:WAF customers can choose to run from one of the actions when a request matches a rule’s conditions:

  • Permitir: la solicitud pasa por WAF y se reenvía al servidor back-end.Allow: Request passes through the WAF and is forwarded to back-end. Ninguna otra regla de prioridad más baja puede bloquear esta solicitud.No further lower priority rules can block this request.
  • Bloquear: la solicitud está bloqueada y WAF envía una respuesta al cliente sin reenviar la solicitud al servidor back-end.Block: The request is blocked and WAF sends a response to the client without forwarding the request to the back-end.
  • Registrar: la solicitud se registra en los registros de WAF y WAF sigue evaluando las reglas de prioridad más baja.Log: Request is logged in the WAF logs and WAF continues evaluating lower priority rules.
  • Redirigir: WAF redirige la solicitud al URI especificado.Redirect: WAF redirects the request to the specified URI. El URI especificado es una configuración de nivel de directiva.The URI specified is a policy level setting. Una vez configurado, todas las solicitudes que coinciden con la acción Redirigir se enviarán a ese URI.Once configured, all requests that match the Redirect action will be sent to that URI.

Reglas de WAFWAF rules

Una directiva de WAF puede constar de dos tipos de reglas de seguridad: reglas personalizadas (creadas por el cliente) y conjuntos de reglas administrados (un conjunto de reglas configurado previamente y administrado por Azure).A WAF policy can consist of two types of security rules - custom rules, authored by the customer and managed rulesets, Azure-managed pre-configured set of rules.

Reglas creadas personalizadasCustom authored rules

Puede configurar reglas personalizadas de WAF de la siguiente forma:You can configure custom rules WAF as follows:

  • Listas de direcciones IP permitidas y denegadas: puede controlar el acceso a las aplicaciones web en función de una lista de direcciones IP de cliente o intervalos de direcciones IP.IP allow list and block list: You can control access to your web applications based on a list of client IP addresses or IP address ranges. Se admiten los tipos de direcciones IPv4 e IPv6.Both IPv4 and IPv6 address types are supported. Esta lista puede configurarse para bloquear o permitir esas solicitudes en las que la IP de origen coincide con una IP de la lista.This list can be configured to either block or allow those requests where the source IP matches an IP in the list.

  • Control de acceso basado en la ubicación geográfica: puede controlar el acceso a las aplicaciones web en función del código de país asociado con la dirección IP de un cliente.Geographic based access control: You can control access to your web applications based on the country code that's associated with a client’s IP address.

  • Control de acceso basado en los parámetros HTTP: puede basar las reglas en coincidencias de cadenas en los parámetros de solicitud HTTP/HTTPS.HTTP parameters-based access control: You can base rules on string matches in HTTP/HTTPS request parameters. Por ejemplo, las cadenas de consulta, los argumentos POST, el URI de solicitud, el encabezado de solicitud y el cuerpo de la solicitud.For example, query strings, POST args, Request URI, Request Header, and Request Body.

  • Control de acceso basado en el método de solicitud: puede basar las reglas en el método de solicitud HTTP de la solicitud.Request method-based access control: You based rules on the HTTP request method of the request. Por ejemplo, GET, PUT o HEAD.For example, GET, PUT, or HEAD.

  • Restricción del tamaño: puede basar las reglas en las longitudes de determinadas partes de una solicitud, como la cadena de consulta, el URI o el cuerpo de la solicitud.Size constraint: You can base rules on the lengths of specific parts of a request such as query string, Uri, or request body.

  • Reglas de limitación de frecuencia: Las reglas de control de frecuencia están diseñadas para limitar el tráfico anormalmente alto procedente de cualquier dirección IP de cliente.Rate limiting rules: A rate control rule is to limit abnormal high traffic from any client IP. Puede configurar un umbral en función del número de solicitudes web que se permiten de una dirección IP de cliente durante un minuto.You may configure a threshold on the number of web requests allowed from a client IP during a one-minute duration. Esta regla es distinta de la regla personalizada de permiso o bloqueo basada en la lista de IP que permita o bloquee todas las solicitudes de una IP de cliente.This rule is distinct from an IP list-based allow/block custom rule that either allows all or blocks all request from a client IP. La limitación de velocidad puede combinarse con condiciones de coincidencia adicionales, como la coincidencia de parámetros HTTP(S) para un control granular de la velocidad.Rate limits can be combined with additional match conditions such as HTTP(S) parameter matches for granular rate control.

Conjuntos de reglas administrados por AzureAzure-managed rule sets

Los conjuntos de reglas administrados por Azure proporcionan una forma fácil de implementar la protección frente a un conjunto común de amenazas de seguridad.Azure-managed rule sets provide an easy way to deploy protection against a common set of security threats. Dado que Azure administra estos conjuntos de reglas, las reglas se actualizan según sea necesario para protegerse frente a nuevas firmas de ataque.Since such rulesets are managed by Azure, the rules are updated as needed to protect against new attack signatures. El conjunto de reglas predeterminado administrado por Azure incluye reglas frente a las siguientes categorías de amenaza:Azure-managed Default Rule Set includes rules against the following threat categories:

  • Scripting entre sitiosCross-site scripting
  • Ataques de JavaJava attacks
  • Inclusión de archivos localesLocal file inclusion
  • Ataques por inyección de PHPPHP injection attacks
  • Ejecución de comandos remotosRemote command execution
  • Inclusión de archivos remotosRemote file inclusion
  • Fijación de sesiónSession fixation
  • Protección contra la inyección de código SQLSQL injection protection
  • Atacantes de protocoloProtocol attackers

El número de versión del conjunto de reglas predeterminado se incrementa cuando se agreguen nuevas firmas de ataque al conjunto de reglas.The version number of the Default Rule Set increments when new attack signatures are added to the rule set. El conjunto de reglas predeterminado está habilitado de forma predeterminada en el modo de detección de las directivas de WAF.Default Rule Set is enabled by default in Detection mode in your WAF policies. Puede deshabilitar o habilitar reglas individuales en el conjunto de reglas predeterminado para satisfacer los requisitos de su aplicación.You can disable or enable individual rules within the Default Rule Set to meet your application requirements. También puede establecer acciones específicas (ALLOW/BLOCK/REDIRECT/LOG) por regla.You can also set specific actions (ALLOW/BLOCK/REDIRECT/LOG) per rule.

A veces, es posible que tenga que omitir determinados atributos de una solicitud de una evaluación del WAF.Sometimes you may need to omit certain request attributes from a WAF evaluation. Un ejemplo común son los tokens insertados de Active Directory que se usan para la autenticación.A common example is Active Directory-inserted tokens that are used for authentication. Puede configurar una lista de exclusión para una regla administrada, un grupo de reglas o para todo el conjunto de reglas.You may configure an exclusion list for a managed rule, rule group, or for the entire rule set.

La acción predeterminada es bloquear (BLOCK).The Default action is to BLOCK. Además, las reglas personalizadas pueden configurarse en la misma directiva de WAF si quiere omitir cualquiera de las reglas previamente configuradas en el conjunto de reglas predeterminado.Additionally, custom rules can be configured in the same WAF policy if you wish to bypass any of the pre-configured rules in the Default Rule Set.

Las reglas personalizadas se aplican siempre antes de que se evalúen las reglas del conjunto de reglas predeterminado.Custom rules are always applied before rules in the Default Rule Set are evaluated. Si una solicitud coincide con una regla personalizada, se aplica la acción de la regla correspondiente.If a request matches a custom rule, the corresponding rule action is applied. La solicitud se bloquea o se pasa por el back-end.The request is either blocked or passed through to the back-end. No se procesa ninguna otra regla personalizada ni las reglas del conjunto de reglas predeterminado.No other custom rules or the rules in the Default Rule Set are processed. También puede quitar el conjunto de reglas predeterminado de las directivas de WAF.You can also remove the Default Rule Set from your WAF policies.

Conjunto de reglas de protección contra bots (versión preliminar)Bot protection rule set (preview)

Se puede habilitar un conjunto administrado de reglas de protección contra bots realizar acciones personalizadas en las solicitudes de categorías de bots conocidas.You can enable a managed bot protection rule set to take custom actions on requests from known bot categories.

Se admiten tres categorías de bot: Defectuosos, correctos y desconocidosThere are three bot categories supported: Bad, Good, and Unknown. La plataforma WAF administra y actualiza dinámicamente las firmas de bots.Bot signatures are managed and dynamically updated by the WAF platform.

Los bots defectuosos incluyen bots de direcciones IP malintencionadas y bots que han falsificado sus identidades.Bad bots include bots from malicious IP addresses and bots that have falsified their identities. Las direcciones IP malintencionadas proceden de la fuente de inteligencia sobre amenazas de Microsoft.Malicious IP addresses are sourced from the Microsoft Threat Intelligence feed and updated every hour. Intelligent Security Graph impulsa la Inteligencia sobre amenazas de Microsoft y lo utilizan numerosos servicios, incluido Azure Security Center.Intelligent Security Graph powers Microsoft Threat Intelligence and is used by multiple services including Azure Security Center.

Los bots correctos incluyen motores de búsqueda validados.Good Bots include validated search engines. Entre las categorías desconocidas se incluyen los grupos de bot adicionales que se identificaron a sí mismos como bots.Unknown categories include additional bot groups that have identified themselves as bots. Por ejemplo, analizadores de mercado, recopiladores de fuentes y agentes de recopilación de datos.For example, market analyzer, feed fetchers and data collection agents.

Los bots desconocidos se clasifican mediante agentes de usuario publicados sin una validación adicional.Unknown bots are classified via published user agents without additional validation. Puede establecer acciones personalizadas para bloquear, permitir, registrar o redirigir los distintos tipos de bots.You can set custom actions to block, allow, log, or redirect for different types of bots.

Conjunto de reglas de protección contra bots

Importante

El conjunto de reglas de protección contra bots se encuentra en versión preliminar pública y se proporciona con un Acuerdo de nivel de servicio de versión preliminar.The Bot protection rule set is currently in public preview and is provided with a preview service level agreement. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas.Certain features may not be supported or may have constrained capabilities. Para más información, consulte Términos de uso complementarios de las versiones preliminares de Microsoft Azure.See the Supplemental Terms of Use for Microsoft Azure Previews for details.

Si la protección contra bots está habilitada, las solicitudes entrantes que coincidan con las reglas de bots se registran en el registro FrontdoorWebApplicationFirewallLog.If bot protection is enabled, incoming requests that match bot rules are logged at the FrontdoorWebApplicationFirewallLog log. Puede acceder a los registros de WAF desde una cuenta de almacenamiento, centro de eventos o análisis de registros.You may access WAF logs from a storage account, event hub, or log analytics.

ConfiguraciónConfiguration

Puede configurar e implementar todos los tipos de reglas de WAF mediante Azure Portal, las API REST, las plantillas de Azure Resource Manager y Azure PowerShell.You can configure and deploy all WAF rule types using the Azure portal, REST APIs, Azure Resource Manager templates, and Azure PowerShell.

SupervisiónMonitoring

La supervisión de WAF en Front Door se integra con Azure Monitor para realizar un seguimiento de las alertas y supervisar con facilidad las tendencias del tráfico.Monitoring for WAF at Front Door is integrated with Azure Monitor to track alerts and easily monitor traffic trends.

Pasos siguientesNext steps