Gyakori kérdések az Azure Web Application Firewall-ról az Azure Front Door Service-ben

Az Azure WAF egy webalkalmazási tűzfal, amely segít megvédeni a webalkalmazásokat az olyan gyakori fenyegetésektől, mint az SQL-injektálás, a helyek közötti szkriptelés és más webes biztonsági rések. Meghatározhat egy WAF-szabályzatot, amely egyéni és felügyelt szabályok kombinációjából áll a webalkalmazásokhoz való hozzáférés szabályozásához.

Az Azure WAF-szabályzatok a Application Gateway vagy az Azure Front Dooron üzemeltetett webalkalmazásokra alkalmazhatók.

Az Azure Front Door egy nagymértékben skálázható, globálisan elosztott alkalmazás- és tartalomkézbesítési hálózat. Az Azure WAF a Front Doorba integrálva leállítja a szolgáltatásmegtagadást és a célzott alkalmazástámadásokat az Azure-hálózat peremhálózatán, közel a támadási forrásokhoz, mielőtt belépnének a virtuális hálózatba, a teljesítmény feláldozása nélkül nyújt védelmet.

A Front Door TLS-kiszervezést kínál. A WAF natív módon integrálva van a Front Doorral, és a visszafejtése után megvizsgálhatja a kéréseket.

Igen. Ip-korlátozást konfigurálhat az IPv4-hez és az IPv6-hoz.

Igyekszünk lépést tartani a változó veszélyforrás-környezettel. Az új szabály frissítését követően a rendszer hozzáadja az alapértelmezett szabálykészlethez egy új verziószámmal.

A LEGTÖBB WAF-szabályzat üzembe helyezése 20 perc alatt befejeződik. Számíthat arra, hogy a szabályzat azonnal érvénybe lép, amint a frissítés az összes peremhálózati helyen globálisan befejeződik.

A Front Doorlal integrált WAF egy globális erőforrás. Ugyanez a konfiguráció minden Front Door-helyen érvényes.

Konfigurálhatja az IP-Access Control listát a háttérrendszerben, hogy csak a Front Door kimenő IP-címtartományait engedélyezze az Azure Front Door szolgáltatáscímkéje használatával, és tiltsa le az internetről való közvetlen hozzáférést. A szolgáltatáscímkék használata a virtuális hálózaton támogatott. Emellett ellenőrizheti, hogy az X-Forwarded-Host HTTP fejlécmező érvényes-e a webalkalmazásra.

A WAF-szabályzatok Azure-ban való alkalmazásakor két lehetőség áll rendelkezésre. Az Azure Front Doorral rendelkező WAF egy globálisan elosztott, peremhálózati biztonsági megoldás. A waf és a Application Gateway regionális, dedikált megoldás. Javasoljuk, hogy az általános teljesítmény- és biztonsági követelményeknek megfelelő megoldást válasszon. További információ: Terheléselosztás az Azure alkalmazáskézbesítési csomagjával.

Ha egy meglévő alkalmazásban engedélyezi a WAF-ot, gyakori, hogy téves pozitív észleléseket észlel, amelyekben a WAF-szabályok fenyegetésként észlelik a jogszerű forgalmat. A felhasználókra gyakorolt hatás kockázatának minimalizálása érdekében a következő folyamatot javasoljuk:

• Engedélyezze a WAF-ot Észlelési módban , és győződjön meg arról, hogy a WAF nem blokkolja a kéréseket a folyamat során. Ez a lépés tesztelési célokra ajánlott a WAF-on.

  Fontos

  Ez a folyamat azt ismerteti, hogyan engedélyezheti a WAF-ot egy új vagy meglévő megoldáson, ha a prioritás az alkalmazás felhasználóinak zavarainak minimalizálása. Ha támadás vagy közvetlen veszély fenyegeti, érdemes lehet azonnal üzembe helyezni a WAF-ot megelőzési módban, és a hangolási folyamat használatával figyelni és hangolni a WAF-ot az idő múlásával. Ez valószínűleg a jogos forgalom egy részének blokkolását okozza, ezért csak akkor javasoljuk ezt a műveletet, ha veszélyben van.

• Kövesse az útmutatónkat a WAF hangolásához. Ehhez a folyamathoz engedélyeznie kell a diagnosztikai naplózást, rendszeresen ellenőriznie kell a naplókat, valamint szabálykizárásokat és egyéb kockázatcsökkentéseket kell hozzáadnia.
• Ismételje meg ezt az egész folyamatot, rendszeresen ellenőrizze a naplókat, amíg meg nem győződik arról, hogy a rendszer nem blokkolja a jogszerű forgalmat. Az egész folyamat több hetet is igénybe vehet. Ideális esetben az egyes finomhangolási módosítások után kevesebb téves pozitív észlelést kell látnia.
• Végül engedélyezze a WAF-ot Megelőzési módban.
• Még ha éles környezetben is futtatja a WAF-ot, továbbra is figyelnie kell a naplókat, hogy azonosítsa a többi téves pozitív észlelést. A naplók rendszeres áttekintése segít azonosítani a blokkolt valódi támadási kísérleteket is.

A ModSec CRS 3.0, CRS 3.1 és CRS 3.2 szabályok jelenleg csak a WAF esetében támogatottak Application Gateway. A sebességkorlátozás és az Azure által felügyelt alapértelmezett szabálykészlet-szabályok csak a WAF esetében támogatottak az Azure Front Dooron.

Az Azure-hálózati peremhálózatokon globálisan elosztott Azure Front Door képes elnyelni és földrajzilag elkülöníteni a nagy mennyiségű támadásokat. Létrehozhat egyéni WAF-szabályzatot az ismert aláírásokkal rendelkező HTTP-támadások automatikus letiltásához és sebességkorlátozásához. További információ: A DDoS Network Protection engedélyezése azon a virtuális hálózaton, amelyen a háttérrendszer üzembe van helyezve. Az Azure DDoS Protection ügyfelei további előnyöket kapnak, többek között a költségvédelmet, az SLA-garanciát és a DDoS Gyorsreagálási csapat szakértőihez való hozzáférést, hogy azonnali segítséget kapjanak egy támadás során. További információ: DDoS protection a Front Dooron.

Előfordulhat, hogy nem látja a sebességkorlát által azonnal blokkolt kéréseket, amikor a kéréseket különböző Front Door-kiszolgálók dolgozzák fel. További információ: Sebességkorlátozás és Front Door-kiszolgálók.

A Front Door WAF a következő tartalomtípusokat támogatja:

• DRS 2.0

  Felügyelt szabályok

  • application/json
  • alkalmazás/xml
  • application/x-www-form-urlencoded
  • többrészes/űrlapadatok

  Egyéni szabályok

  • application/x-www-form-urlencoded

• DRS 1.x

  Felügyelt szabályok

  • application/x-www-form-urlencoded
  • szöveg/egyszerű

  Egyéni szabályok

  • application/x-www-form-urlencoded

Nem, nem teheted. Az AFD-profilnak és a WAF-szabályzatnak ugyanabban az előfizetésben kell lennie.

Következő lépések

• Az Azure Web Application Firewall ismertetése.
• További információ az Azure Front Doorról.