Pare-feu d’applications web Azure sur Azure Front DoorAzure Web Application Firewall on Azure Front Door

Le pare-feu d’applications web (WAF) Azure sur Azure Front Door offre une protection centralisée à vos applications web.Azure Web Application Firewall (WAF) on Azure Front Door provides centralized protection for your web applications. WAF protège vos services web contre les vulnérabilités et les attaques courantes.WAF defends your web services against common exploits and vulnerabilities. Il assure la haute disponibilité de votre service pour vos utilisateurs et vous aide à répondre aux exigences de conformité.It keeps your service highly available for your users and helps you meet compliance requirements.

La solution WAF sur Front Door est mondiale et centralisée.WAF on Front Door is a global and centralized solution. Il est déployé sur les sites de périphérie du réseau Azure dans le monde entier.It's deployed on Azure network edge locations around the globe. Les applications web compatibles WAF inspectent chaque demande entrante fournie par Front Door à la périphérie du réseau.WAF enabled web applications inspect every incoming request delivered by Front Door at the network edge.

WAF empêche les attaques malveillantes proches des sources d’attaque avant qu’elles entrent dans votre réseau virtuel.WAF prevents malicious attacks close to the attack sources, before they enter your virtual network. Vous bénéficiez d’une protection globale à grande échelle sans sacrifier les performances.You get global protection at scale without sacrificing performance. Une stratégie WAF est facile à lier à un profil Front Door dans votre abonnement.A WAF policy easily links to any Front Door profile in your subscription. De nouvelles règles peuvent être déployées en quelques minutes : vous pouvez donc répondre rapidement aux modèles de menaces changeants.New rules can be deployed within minutes, so you can respond quickly to changing threat patterns.

Pare-feu d’applications web (WAF) d’Azure

Azure Front Door introduit deux nouveaux SKU en préversion : Front Door Standard et Front Door Premium.Azure Front Door introduces two new SKUs in preview: Front Door Standard and Front Door Premium SKU. Le WAF est intégré en mode natif au SKU Front Door Premium avec des capacités complètes.WAF is natively integrated with Front Door Premium SKU with full capabilities. Pour le SKU Front Door Standard, seules les règles personnalisées sont prises en charge.For Front Door Standard SKU, only custom rules are supported.

Stratégie et règles WAFWAF policy and rules

Vous pouvez configurer une stratégie WAF et l’associer à un ou plusieurs front-ends Front Door pour la protection.You can configure a WAF policy and associate that policy to one or more Front Door front-ends for protection. Une stratégie WAF se compose de deux types de règles de sécurité :A WAF policy consists of two types of security rules:

  • des règles personnalisées créées par le client ;custom rules that are authored by the customer.

  • des ensembles de règles managées qui rassemblent les règles préconfigurées managées par Azure.managed rule sets that are a collection of Azure-managed pre-configured set of rules.

Quand ces deux types de règles sont utilisés conjointement, les règles personnalisées sont appliquées avant celles d’un ensemble de règles managées.When both are present, custom rules are processed before processing the rules in a managed rule set. Une règle est constituée d’une condition de correspondance, d’une priorité et d’une action.A rule is made of a match condition, a priority, and an action. Les types d’actions pris en charge sont : AUTORISER, BLOQUER, JOURNALISER et REDIRIGER.Action types supported are: ALLOW, BLOCK, LOG, and REDIRECT. Vous pouvez créer une stratégie entièrement personnalisée qui répond aux exigences de protection spécifiques de votre application en combinant des règles personnalisées et des règles managées.You can create a fully customized policy that meets your specific application protection requirements by combining managed and custom rules.

Les règles d’une stratégie sont traitées selon un ordre de priorité.Rules within a policy are processed in a priority order. La priorité est représentée par un entier unique qui définit l’ordre des règles à traiter.Priority is a unique integer that defines the order of rules to process. Plus la valeur entière est petite, plus la priorité est élevée ; les règles ayant des valeurs inférieures sont évaluées avant les règles ayant des valeurs plus élevées.Smaller integer value denotes a higher priority and those rules are evaluated before rules with a higher integer value. Une fois qu'une correspondance de règle est trouvée, l’action associée définie dans la règle est appliquée à la requête.Once a rule is matched, the corresponding action that was defined in the rule is applied to the request. Une fois qu’une telle correspondance est traitée, aucune autre règle avec une priorité inférieure n’est traitée.Once such a match is processed, rules with lower priorities aren't processed further.

Une application web fournie par Front Door peut être associée à une seule stratégie WAF.A web application delivered by Front Door can have only one WAF policy associated with it at a time. Toutefois, il n’est pas obligatoire d’associer une stratégie WAF dans une configuration Front Door.However, you can have a Front Door configuration without any WAF policies associated with it. Si une stratégie WAF est présente, elle est répliquée sur tous nos emplacements de périphérie pour garantir des stratégies de sécurité cohérentes à travers le monde.If a WAF policy is present, it's replicated to all of our edge locations to ensure consistent security policies across the world.

Modes WAFWAF modes

Une stratégie WAF peut être configurée pour s’exécuter dans les deux modes suivants :WAF policy can be configured to run in the following two modes:

  • Mode Détection : Quand il est exécuté en mode Détection, le pare-feu d’applications web n’entreprend pas d’autre action que la supervision et la journalisation de la requête et de la règle WAF correspondante dans les journaux WAF.Detection mode: When run in detection mode, WAF doesn't take any other actions other than monitors and logs the request and its matched WAF rule to WAF logs. Vous pouvez activer la journalisation des diagnostics pour Front Door.You can turn on logging diagnostics for Front Door. Quand vous utilisez le portail, accédez à la section Diagnostics.When you use the portal, go to the Diagnostics section.

  • Mode Prévention : En mode Prévention, le pare-feu d’applications web entreprend l’action spécifiée si une demande correspond à une règle.Prevention mode: In prevention mode, WAF takes the specified action if a request matches a rule. Si une correspondance est trouvée, aucune autre règle avec une priorité inférieure n’est évaluée.If a match is found, no further rules with lower priority are evaluated. Toutes les requêtes mises en correspondance sont également enregistrées dans les journaux WAF.Any matched requests are also logged in the WAF logs.

Actions WAFWAF actions

Les clients de la solution WAF peuvent choisir d’exécuter l’une des actions disponibles quand une requête correspond aux conditions d’une règle :WAF customers can choose to run from one of the actions when a request matches a rule’s conditions:

  • Autoriser : la requête est transférée au back-end par le biais du pare-feu d'applications web.Allow: Request passes through the WAF and is forwarded to back-end. Aucune autre règle de priorité inférieure ne peut bloquer cette requête.No further lower priority rules can block this request.
  • Bloquer : la requête est bloquée et le pare-feu d'applications web envoie une réponse au client sans transférer la requête au back-end.Block: The request is blocked and WAF sends a response to the client without forwarding the request to the back-end.
  • Journaliser : la requête est enregistrée dans les journaux WAF, puis le pare-feu d'applications web continue l’évaluation des règles de priorité inférieure.Log: Request is logged in the WAF logs and WAF continues evaluating lower priority rules.
  • Rediriger : le pare-feu d'applications web redirige la requête vers l’URI spécifié.Redirect: WAF redirects the request to the specified URI. L’URI spécifié est un paramètre défini au niveau de la stratégie.The URI specified is a policy level setting. Une fois l’URI configuré, toutes les requêtes associées à l’action Rediriger sont envoyées à cet URI.Once configured, all requests that match the Redirect action will be sent to that URI.

Règles WAFWAF rules

Une stratégie WAF peut comporter deux types de règles de sécurité : des règles personnalisées, créées par le client, et des ensembles de règles managées, qui rassemblent les règles préconfigurées managées par Azure.A WAF policy can consist of two types of security rules - custom rules, authored by the customer and managed rulesets, Azure-managed pre-configured set of rules.

Règles WAF personnaliséesCustom authored rules

Vous pouvez configurer des règles WAF personnalisées comme expliqué ci-dessous :You can configure custom rules WAF as follows:

  • Listes d’adresses IP autorisées et bloquées : Vous pouvez contrôler l’accès à vos applications web en fonction d’une liste d’adresses IP de clients ou de plages d’adresses IP.IP allow list and block list: You can control access to your web applications based on a list of client IP addresses or IP address ranges. Les deux types d’adresses IPv4 et IPv6 sont pris en charge.Both IPv4 and IPv6 address types are supported. Cette liste peut être configurée pour bloquer ou autoriser les requêtes dont l’adresse IP source correspond à l’une des adresses IP listées.This list can be configured to either block or allow those requests where the source IP matches an IP in the list.

  • Contrôle d’accès en fonction de l’emplacement géographique : Vous pouvez contrôler l’accès à vos applications web en fonction du code du pays qui est associé à l’adresse IP d’un client.Geographic based access control: You can control access to your web applications based on the country code that's associated with a client’s IP address.

  • Contrôle d’accès en fonction des paramètres HTTP : Vous pouvez baser des règles sur des correspondances de chaîne dans les paramètres de requête HTTP/HTTPS.HTTP parameters-based access control: You can base rules on string matches in HTTP/HTTPS request parameters. Par exemple, les chaînes de requête, les arguments POST, l’URI de la demande, l’en-tête de la demande et le corps de la demande.For example, query strings, POST args, Request URI, Request Header, and Request Body.

  • Contrôle d’accès en fonction de la méthode de requête : Vous basez les règles sur la méthode de requête HTTP de la demande.Request method-based access control: You based rules on the HTTP request method of the request. Par exemple, GET, PUT ou HEAD.For example, GET, PUT, or HEAD.

  • Contrainte de taille : Vous pouvez baser les règles sur la longueur de parties spécifiques d’une requête, comme la chaîne de requête, l’URI ou le corps de la demande.Size constraint: You can base rules on the lengths of specific parts of a request such as query string, Uri, or request body.

  • Règles de limitation du débit : Une règle de contrôle du débit consiste à limiter un trafic élevé anormal en provenance de toute adresse IP de client.Rate limiting rules: A rate control rule is to limit abnormal high traffic from any client IP. Vous pouvez configurer un seuil sur le nombre de requêtes web autorisées à partir d’une adresse IP cliente pendant une durée d’une minute.You may configure a threshold on the number of web requests allowed from a client IP during a one-minute duration. Cette règle est différente d’une règle personnalisée basée sur une liste d’adresses autorisées ou bloquées, qui autorise ou bloque toutes les requêtes provenant d’une adresse IP cliente.This rule is distinct from an IP list-based allow/block custom rule that either allows all or blocks all request from a client IP. Des limitations de débit peuvent être combinées avec des conditions de correspondance supplémentaires, comme la mise en correspondance de paramètres HTTP/HTTPS pour un contrôle du débit plus précis.Rate limits can be combined with additional match conditions such as HTTP(S) parameter matches for granular rate control.

Ensembles de règles managées par AzureAzure-managed rule sets

Les ensembles de règles managées par Azure fournissent un moyen simple de déployer une solution de protection contre diverses menaces de sécurité courantes.Azure-managed rule sets provide an easy way to deploy protection against a common set of security threats. Dans la mesure où ces ensembles de règles sont managées par Azure, les règles sont mises à jour comme il convient pour vous protéger contre les nouvelles signatures d’attaque.Since such rulesets are managed by Azure, the rules are updated as needed to protect against new attack signatures. L’ensemble de règles par défaut managées par Azure inclut des règles de protection contre les catégories de menaces suivantes :Azure-managed Default Rule Set includes rules against the following threat categories:

  • Scripts intersites (XSS)Cross-site scripting
  • Attaques JavaJava attacks
  • Inclusion de fichier local (LFI)Local file inclusion
  • Injection de code PHPPHP injection attacks
  • Exécution de commande à distanceRemote command execution
  • Inclusion de fichier distant (RFI)Remote file inclusion
  • Fixation de sessionSession fixation
  • Protection contre les injections de code SQLSQL injection protection
  • Attaquants de protocoleProtocol attackers

Le numéro de version de l’ensemble de règles par défaut s’incrémente quand de nouvelles signatures d’attaque sont ajoutées à l’ensemble de règles.The version number of the Default Rule Set increments when new attack signatures are added to the rule set. L’ensemble de règles par défaut est activé en mode Détection par défaut dans vos stratégies WAF.Default Rule Set is enabled by default in Detection mode in your WAF policies. Vous pouvez activer ou désactiver des règles individuellement dans l’ensemble de règles par défaut en fonction des exigences propres à votre application.You can disable or enable individual rules within the Default Rule Set to meet your application requirements. Vous pouvez également définir des actions spécifiques (AUTORISER/BLOQUER/REDIRIGER/JOURNALISER) pour chaque règle.You can also set specific actions (ALLOW/BLOCK/REDIRECT/LOG) per rule.

Parfois, il peut se révéler utile d’omettre certains attributs de demande d’une évaluation de pare-feu d’applications web (WAF).Sometimes you may need to omit certain request attributes from a WAF evaluation. Les jetons insérés par Active Directory qui sont utilisés pour l’authentification en sont un exemple courant.A common example is Active Directory-inserted tokens that are used for authentication. Vous pouvez configurer une liste d’exclusion pour une règle managée, pour un groupe de règles ou pour la totalité de l’ensemble de règles.You may configure an exclusion list for a managed rule, rule group, or for the entire rule set.

L’action par défaut est BLOQUER.The Default action is to BLOCK. De plus, des règles personnalisées peuvent être configurées dans la même stratégie WAF si vous souhaitez ignorer les règles préconfigurées de l’ensemble de règles par défaut.Additionally, custom rules can be configured in the same WAF policy if you wish to bypass any of the pre-configured rules in the Default Rule Set.

Les règles personnalisées sont toujours appliquées avant l’évaluation des règles de l’ensemble de règles par défaut.Custom rules are always applied before rules in the Default Rule Set are evaluated. Si une demande correspond à une règle personnalisée, l’action de la règle correspondante est appliquée.If a request matches a custom rule, the corresponding rule action is applied. La demande est bloquée ou transmise au back-end.The request is either blocked or passed through to the back-end. Aucune autre règle personnalisée ou les règles de l’ensemble de règles par défaut ne sont traitées.No other custom rules or the rules in the Default Rule Set are processed. Vous pouvez aussi supprimer l’ensemble de règles par défaut de vos stratégies WAF.You can also remove the Default Rule Set from your WAF policies.

Ensemble de règles de protection des bots (préversion)Bot protection rule set (preview)

Vous pouvez activer un ensemble de règles de protection des bots managées afin d’effectuer des actions personnalisées sur les requêtes provenant de catégories de bots connues.You can enable a managed bot protection rule set to take custom actions on requests from known bot categories.

Trois catégories de bots sont prises en charge : Mauvais, Bon et Inconnu.There are three bot categories supported: Bad, Good, and Unknown. Les signatures de bot sont gérées et mises à jour dynamiquement par la plateforme WAF.Bot signatures are managed and dynamically updated by the WAF platform.

Les « mauvais » bots sont des bots provenant d’adresses IP malveillantes et des bots qui ont falsifié leur identité.Bad bots include bots from malicious IP addresses and bots that have falsified their identities. Les adresses IP malveillantes proviennent du flux Microsoft Threat Intelligence et sont mises à jour toutes les heures.Malicious IP addresses are sourced from the Microsoft Threat Intelligence feed and updated every hour. Intelligent Security Graph alimente Microsoft Threat Intelligence et est utilisé par de nombreux services, notamment Azure Security Center.Intelligent Security Graph powers Microsoft Threat Intelligence and is used by multiple services including Azure Security Center.

Les Good Bots (Bons bots), incluent les moteurs de recherche validés.Good Bots include validated search engines. Les catégories « Inconnu » sont des groupes de bots supplémentaires qui se sont identifiés eux-mêmes comme bots.Unknown categories include additional bot groups that have identified themselves as bots. Par exemple, un analyseur de marché, des extracteurs de flux et des agents de collecte de données.For example, market analyzer, feed fetchers and data collection agents.

Les bots inconnus sont classifiés via des agents utilisateur publiés sans validation supplémentaire.Unknown bots are classified via published user agents without additional validation. Vous pouvez définir des actions personnalisées pour bloquer, autoriser, journaliser ou rediriger pour les différentes types de bots.You can set custom actions to block, allow, log, or redirect for different types of bots.

Ensemble de règles de protection bot

Important

L’ensemble de règles de protection des bots, actuellement disponible en préversion publique, est fourni avec un contrat de niveau de service en préversion.The Bot protection rule set is currently in public preview and is provided with a preview service level agreement. Certaines fonctionnalités peuvent être limitées ou non prises en charge.Certain features may not be supported or may have constrained capabilities. Consultez les Conditions d’utilisation supplémentaires des préversions de Microsoft Azure.See the Supplemental Terms of Use for Microsoft Azure Previews for details.

Si la protection des bots est activée, les demandes entrantes qui correspondent à des règles de bot sont journalisées dans le journal FrontdoorWebApplicationFirewallLog.If bot protection is enabled, incoming requests that match bot rules are logged at the FrontdoorWebApplicationFirewallLog log. Vous pouvez accéder aux journaux WAF à partir d’un compte de stockage, d’un hub d’événements ou de Log Analytics.You may access WAF logs from a storage account, event hub, or log analytics.

ConfigurationConfiguration

Vous pouvez configurer et déployer tous les types de règles WAF en utilisant le portail Azure, des API REST, des modèles Azure Resource Manager ou Azure PowerShell.You can configure and deploy all WAF rule types using the Azure portal, REST APIs, Azure Resource Manager templates, and Azure PowerShell.

SurveillanceMonitoring

La supervision de WAF pour Front Door est intégrée à Azure Monitor, ce qui vous permet de suivre les alertes et d’analyser facilement les tendances du trafic.Monitoring for WAF at Front Door is integrated with Azure Monitor to track alerts and easily monitor traffic trends.

Étapes suivantesNext steps