Veelgestelde vragen over Azure Web Application Firewall op Azure Front Door Service

Azure WAF is een webtoepassingsfirewall die uw webtoepassingen helpt beschermen tegen veelvoorkomende bedreigingen, zoals SQL-injectie, scripts op meerdere sites en andere aanvallen op het web. U kunt een WAF-beleid definiëren dat bestaat uit een combinatie van aangepaste en beheerde regels om de toegang tot uw webtoepassingen te beheren.

Een Azure WAF-beleid kan worden toegepast op webtoepassingen die worden gehost op Application Gateway of Azure Front Doors.

Azure Front Door is een uiterst schaalbaar, wereldwijd gedistribueerd netwerk voor toepassings- en inhoudslevering. Wanneer Azure WAF is geïntegreerd met Front Door, stopt denial-of-service- en gerichte toepassingsaanvallen aan de rand van het Azure-netwerk, dicht bij aanvalsbronnen voordat ze uw virtuele netwerk binnenkomen, biedt beveiliging zonder dat dit ten koste gaat van de prestaties.

Front Door biedt TLS-offloading. WAF is systeemeigen geïntegreerd met Front Door en kan een aanvraag inspecteren nadat deze is ontsleuteld.

Ja. U kunt IP-beperking configureren voor IPv4 en IPv6.

We doen ons best om het veranderende bedreigingslandschap bij te houden. Zodra een nieuwe regel is bijgewerkt, wordt deze toegevoegd aan de standaardregelset met een nieuw versienummer.

De meeste WAF-beleidsimplementaties worden binnen 20 minuten voltooid. U kunt verwachten dat het beleid van kracht wordt zodra de update is voltooid op alle edge-locaties wereldwijd.

Bij integratie met Front Door is WAF een wereldwijde resource. Dezelfde configuratie is van toepassing op alle Front Door-locaties.

U kunt IP Access Control List in uw back-end configureren om alleen uitgaande IP-adresbereiken van Front Door toe te staan met behulp van de Azure Front Door-servicetag en om directe toegang vanaf internet te weigeren. Servicetags worden ondersteund voor gebruik in uw virtuele netwerk. Daarnaast kunt u controleren of het veld X-Forwarded-Host HTTP-header geldig is voor uw webtoepassing.

Er zijn twee opties bij het toepassen van WAF-beleid in Azure. WAF met Azure Front Door is een wereldwijd gedistribueerde, edge-beveiligingsoplossing. WAF met Application Gateway is een regionale, toegewezen oplossing. We raden u aan een oplossing te kiezen op basis van uw algemene prestatie- en beveiligingsvereisten. Zie Load-balancing with Azure's application delivery suite (Taakverdeling met de toepassingsleveringssuite van Azure) voor meer informatie.

Wanneer u de WAF inschakelt voor een bestaande toepassing, is het gebruikelijk om fout-positieve detecties te hebben waarbij de WAF-regels legitiem verkeer als een bedreiging detecteren. Om het risico van een impact op uw gebruikers te minimaliseren, raden we het volgende proces aan:

• Schakel de WAF in de detectiemodus in om ervoor te zorgen dat de WAF geen aanvragen blokkeert terwijl u dit proces doorloopt. Deze stap wordt aanbevolen voor testdoeleinden op WAF.

  Belangrijk

  In dit proces wordt beschreven hoe u de WAF inschakelt voor een nieuwe of bestaande oplossing wanneer uw prioriteit is om de storing voor de gebruikers van uw toepassing te minimaliseren. Als u wordt aangevallen of dreigend wordt bedreigd, kunt u in plaats daarvan de WAF onmiddellijk in de preventiemodus implementeren en het afstemmingsproces gebruiken om de WAF in de loop van de tijd te controleren en af te stemmen. Dit zorgt er waarschijnlijk voor dat een deel van uw legitieme verkeer wordt geblokkeerd. Daarom raden we u aan dit alleen te doen wanneer u wordt bedreigd.

• Volg onze richtlijnen voor het afstemmen van de WAF. Voor dit proces moet u diagnostische logboekregistratie inschakelen, de logboeken regelmatig controleren en regeluitsluitingen en andere oplossingen toevoegen.
• Herhaal dit hele proces en controleer de logboeken regelmatig totdat u tevreden bent dat er geen legitiem verkeer wordt geblokkeerd. Het hele proces kan enkele weken duren. In het ideale geval ziet u minder fout-positieve detecties na elke afstemmingswijziging die u aanbrengt.
• Schakel ten slotte waf in de preventiemodus in.
• Zelfs wanneer u de WAF in productie uitvoert, moet u de logboeken blijven bewaken om eventuele andere fout-positieve detecties te identificeren. Door regelmatig de logboeken te controleren, kunt u ook echte aanvalspogingen identificeren die zijn geblokkeerd.

Momenteel worden ModSec CRS 3.0-, CRS 3.1- en CRS 3.2-regels alleen ondersteund met WAF op Application Gateway. Frequentiebeperking en door Azure beheerde standaardregelsetregels worden alleen ondersteund met WAF in Azure Front Door.

Wereldwijd gedistribueerd aan azure-netwerkranden, kan Azure Front Door aanvallen van grote volumes absorberen en geografisch isoleren. U kunt aangepast WAF-beleid maken om http(s) aanvallen met bekende handtekeningen automatisch te blokkeren en frequentielimieten te beperken. Verder kunt u DDoS-netwerkbeveiliging inschakelen op het VNet waar uw back-ends worden geïmplementeerd. Azure DDoS Protection-klanten ontvangen extra voordelen, waaronder kostenbeveiliging, SLA-garantie en toegang tot experts van het DDoS Rapid Response Team voor onmiddellijke hulp tijdens een aanval. Zie DDoS-beveiliging op Front Door voor meer informatie.

U ziet mogelijk niet dat aanvragen onmiddellijk worden geblokkeerd door de frequentielimiet wanneer aanvragen worden verwerkt door verschillende Front Door-servers. Zie Snelheidsbeperking en Front Door-servers voor meer informatie.

Front Door WAF ondersteunt de volgende inhoudstypen:

• DRS 2.0

  Beheerde regels

  • application/json
  • toepassing/xml
  • application/x-www-form-urlencoded
  • meerdelige/formuliergegevens

  Aangepaste regels

  • application/x-www-form-urlencoded

• DRS 1.x

  Beheerde regels

  • application/x-www-form-urlencoded
  • tekst/tekst zonder opmaak

  Aangepaste regels

  • application/x-www-form-urlencoded

Nee dat kan niet. Het AFD-profiel en het WAF-beleid moeten zich in hetzelfde abonnement bevinden.

Volgende stappen

• Meer informatie over Azure Web Application Firewall.
• Meer informatie over Azure Front Door.