In dit artikel vindt u antwoorden op veelvoorkomende Azure Web Application Firewall (WAF) over Azure Front Door Service functies en functionaliteit.
Wat is Azure WAF?
Azure WAF is een firewall voor webtoepassingen die uw webtoepassingen beschermt tegen veelvoorkomende bedreigingen, zoals SQL-injectie, cross-site scripting en andere web exploits. U kunt een WAF-beleid definiëren dat bestaat uit een combinatie van aangepaste en beheerde regels om de toegang tot uw webtoepassingen te bepalen.
Een Azure WAF-beleid kan worden toegepast op webtoepassingen die worden gehost op Application Gateway of Azure Front Doors.
Wat is WAF op Azure Front Door?
Azure Front Door is een uiterst schaalbaar, wereldwijd gedistribueerd netwerk voor toepassings- en inhoudslevering. Wanneer Azure WAF is geïntegreerd met Front Door, stopt denial-of-service en gerichte toepassingsaanvallen aan de rand van het Azure-netwerk, dicht bij aanvalsbronnen voordat ze uw virtuele netwerk binnenkomen, biedt bescherming zonder dat dit ten koste gaat van de prestaties.
Ondersteunt Azure WAF HTTPS?
Front Door biedt TLS-offloading. WAF is systeemeigen geïntegreerd met Front Door en kan een aanvraag inspecteren nadat deze is ontsleuteld.
Ondersteunt Azure WAF IPv6?
Ja. U kunt IP-beperking configureren voor IPv4 en IPv6.
Hoe up-to-date zijn de beheerde regelsets?
We doen ons best om het veranderende bedreigingslandschap bij te houden. Zodra een nieuwe regel is bijgewerkt, wordt deze met een nieuw versienummer toegevoegd aan de standaardregelset.
Wat is de door propagatietijd als ik mijn WAF-beleid wijzig?
De meeste WAF-beleidsimplementaties worden minder dan 20 minuten voltooid. U kunt verwachten dat het beleid van kracht wordt zodra de update is voltooid op alle edge-locaties wereldwijd.
Kan het WAF-beleid verschillen voor verschillende regio's?
Wanneer WAF is geïntegreerd Front Door, is WAF een globale resource. Dezelfde configuratie is van toepassing op alle Front Door locaties.
Hoe kan ik toegang tot mijn back-end beperken tot alleen Front Door back-end?
U kunt ip-adreslijst Access Control in uw back-end zo configureren dat alleen uitgaande IP-adresbereiken Front Door toegestaan zijn en directe toegang van internet wordt weigert. Servicetags worden ondersteund voor gebruik in uw virtuele netwerk. Daarnaast kunt u controleren of het veld X-Forwarded-Host HTTP header geldig is voor uw webtoepassing.
Welke Azure WAF-opties moet ik kiezen?
Er zijn twee opties bij het toepassen van WAF-beleid in Azure. WAF met Azure Front Door is een wereldwijd gedistribueerde edge-beveiligingsoplossing. WAF met Application Gateway is een regionale, toegewezen oplossing. U wordt aangeraden een oplossing te kiezen op basis van uw algemene prestatie- en beveiligingsvereisten. Zie Load-balancing with Azure's application delivery suite (Taakverdeling met azure-pakket voor toepassingslevering) voor meer informatie.
Wat is de aanbevolen benadering voor het inschakelen van WAF op Front Door?
Wanneer u de WAF in een bestaande toepassing inschakelen, is het gebruikelijk om fout-positieve detecties te hebben waarbij de WAF-regels legitiem verkeer als een bedreiging detecteren. Om het risico op gevolgen voor uw gebruikers te minimaliseren, raden we het volgende proces aan:
- Schakel de WAF in de detectiemodus in om ervoor te zorgen dat de WAF geen aanvragen blokkeert terwijl u dit proces doormaakt.
Belangrijk
In dit proces wordt beschreven hoe u de WAF kunt inschakelen voor een nieuwe of bestaande oplossing wanneer uw prioriteit is om de overlast voor de gebruikers van uw toepassing tot een minimum te beperken. Als u wordt aangevallen of als er sprake is van een ernstige bedreiging, kunt u in plaats daarvan de WAF onmiddellijk implementeren in de preventiemodus en het afstemmingsproces gebruiken om de WAF gedurende een periode te bewaken en af te stemmen. Dit zorgt er waarschijnlijk voor dat een deel van uw legitieme verkeer wordt geblokkeerd. Daarom raden we u aan dit alleen te doen wanneer u wordt bedreigingen bedreigingen.
- Volg onze richtlijnen voor het afstemmen van de WAF. Voor dit proces moet u diagnostische logboekregistratie inschakelen, de logboeken regelmatig controleren en regeluitsluitingen en andere oplossingen toevoegen.
- Herhaal dit hele proces en controleer regelmatig de logboeken totdat u zeker weet dat er geen legitiem verkeer wordt geblokkeerd. Het hele proces kan enkele weken duren. Idealiter zou u minder fout-positieve detecties moeten zien na elke afstemmingswijziging die u maakt.
- Schakel ten slotte de WAF in de preventiemodus in.
- Zelfs wanneer u de WAF in productie hebt uitgevoerd, moet u de logboeken bijhouden om andere fout-positieve detecties te identificeren. Door de logboeken regelmatig te controleren, kunt u ook eventuele echte, geblokkeerde aanvalspogingen identificeren.
Ondersteunt u dezelfde WAF-functies in alle geïntegreerde platforms?
Op dit moment worden regels voor ModSec CRS 2.2.9, CRS 3.0 en CRS 3.1 alleen ondersteund met WAF op Application Gateway. Snelheidsbeperking, geofilters en door Azure beheerde standaardregelsetregels worden alleen ondersteund met WAF op Azure Front Door.
Is DDoS-beveiliging geïntegreerd met Front Door?
Wereldwijd gedistribueerd op Azure-netwerkranden, kunnen Azure Front Door grote volumeaanvallen opnemen en geografisch isoleren. U kunt aangepast WAF-beleid maken om http(s)-aanvallen met bekende handtekeningen automatisch te blokkeren en te beperken. Verder kunt u DDoS Protection Standard inschakelen op het VNet waar uw back-ends worden geïmplementeerd. Azure DDoS Protection Standard-klanten ontvangen extra voordelen, waaronder kostenbescherming, SLA-garantie en toegang tot experts van het DDoS Rapid Response-team voor onmiddellijke hulp tijdens een aanval. Zie DDoS-beveiliging op Front Door.
Waarom worden extra aanvragen boven de drempelwaarde die is geconfigureerd voor mijn regel voor de snelheidslimiet doorgegeven aan mijn back-endserver?
Een regel voor een snelheidslimiet kan een abnormaal hoog verkeer van elk client-IP-adres beperken. U kunt een drempelwaarde configureren voor het aantal webaanvragen dat is toegestaan vanaf een CLIENT-IP-adres gedurende een duur van één minuut of vijf minuten. Voor gedetailleerde snelheidscontrole kan snelheidsbeperking worden gecombineerd met aanvullende voorwaarden voor overeenkomst, zoals http(s)-parameters die overeenkomen.
Aanvragen van dezelfde client komen vaak op dezelfde Front Door server. In dat geval ziet u dat extra aanvragen boven de drempelwaarde onmiddellijk worden geblokkeerd.
Het is echter mogelijk dat aanvragen van dezelfde client bij een andere Front Door-server aankomen die de teller voor de snelheidslimiet nog niet heeft vernieuwd. De client kan bijvoorbeeld voor elke aanvraag een nieuwe verbinding openen en de drempelwaarde is laag. In dit geval wordt de controle op de snelheidslimiet Front Door eerste aanvraag naar de nieuwe server. Een drempelwaarde voor een snelheidslimiet wordt meestal hoog ingesteld om u te beschermen tegen Denial of Service-aanvallen vanaf een client-IP-adres. Voor een zeer lage drempelwaarde ziet u mogelijk extra aanvragen boven de drempelwaarde.
Welke inhoudstypen worden door WAF ondersteund?
Front Door WAF ondersteunt de volgende inhoudstypen:
DRS 2.0
Beheerde regels
- application/json
- toepassing/xml
- application/x-www-form-urlencoded
- multipart/form-data
Aangepaste regels
- application/x-www-form-urlencoded
DRS 1.x
Beheerde regels
- application/x-www-form-urlencoded
- text/plain
Aangepaste regels
- application/x-www-form-urlencoded
Volgende stappen
- Meer informatie over Azure Web Application Firewall.
- Meer informatie over Azure Front Door.