Usługa Azure Web Application Firewall w usłudze Azure Content Delivery Network firmy Microsoft
Usługa Azure Web Application Firewall (WAF) w usłudze Azure Content Delivery Network (CDN) firmy Microsoft zapewnia scentralizowaną ochronę zawartości internetowej. Zapora aplikacji internetowej broni usług internetowych przed typowymi programami wykorzystującymi luki i lukami w zabezpieczeniach. Zapewnia ona wysoką dostępność usługi dla użytkowników i pomaga spełnić wymagania dotyczące zgodności.
Ważne
Zapora aplikacji internetowej platformy Azure w usłudze Azure CDN z wersji zapoznawczej firmy Microsoft nie akceptuje już nowych klientów. Zachęcamy klientów do korzystania z zapory aplikacji internetowej platformy Azure w usłudze Azure Front Door . Istniejący klienci usługi CDN WAF otrzymują umowę dotyczącą poziomu usług w wersji zapoznawczej. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać szczegółowe informacje, zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure.
Zapora aplikacji internetowej w usłudze Azure CDN to globalne i scentralizowane rozwiązanie. Jest ona wdrażana w lokalizacjach brzegowych sieci platformy Azure na całym świecie. Zapora aplikacji internetowej zatrzymuje złośliwe ataki w pobliżu źródeł ataków, zanim dotrą do źródła. Ochrona globalna jest dostępna na dużą skalę bez poświęcania wydajności.
Zasady zapory aplikacji internetowej łatwo łączą się z dowolnym punktem końcowym usługi CDN w ramach subskrypcji. Nowe reguły można wdrożyć w ciągu kilku minut, dzięki czemu można szybko reagować na zmieniające się wzorce zagrożeń.
Zasady i reguły zapory aplikacji internetowej
Zasady zapory aplikacji internetowej można skonfigurować i skojarzyć te zasady z co najmniej jednym punktem końcowym usługi CDN na potrzeby ochrony. Zasady zapory aplikacji internetowej składają się z dwóch typów reguł zabezpieczeń:
niestandardowe reguły, które można utworzyć.
zarządzane zestawy reguł, które są kolekcją wstępnie skonfigurowanych reguł zarządzanych przez platformę Azure.
Gdy oba te reguły są obecne, reguły niestandardowe są przetwarzane przed przetworzeniem reguł w zarządzanym zestawie reguł. Reguła jest wykonywana z warunku dopasowania, priorytetu i akcji. Obsługiwane typy akcji to : ALLOW, BLOCK, LOG i REDIRECT. Można utworzyć w pełni dostosowane zasady spełniające określone wymagania dotyczące ochrony aplikacji, łącząc reguły zarządzane i niestandardowe.
Reguły w ramach zasad są przetwarzane w kolejności priorytetów. Priorytet to unikatowa liczba, która definiuje kolejność reguł przetwarzania. Mniejsze liczby mają wyższy priorytet, a reguły te są oceniane przed regułami o większej wartości. Po dopasowaniu reguły odpowiednia akcja zdefiniowana w regule jest stosowana do żądania. Po przetworzeniu takiego dopasowania reguły o niższych priorytetach nie są przetwarzane dalej.
Aplikacja internetowa hostowana w usłudze Azure CDN może mieć tylko jedno zasady zapory aplikacji internetowej skojarzone z nią jednocześnie. Można jednak mieć punkt końcowy usługi CDN bez skojarzonych z nim zasad zapory aplikacji internetowej. Jeśli istnieją zasady zapory aplikacji internetowej, są replikowane do wszystkich naszych lokalizacji brzegowych, aby zapewnić spójne zasady zabezpieczeń na całym świecie.
Tryby zapory aplikacji internetowej
Zasady zapory aplikacji internetowej można skonfigurować do uruchamiania w następujących dwóch trybach:
Tryb wykrywania: w przypadku uruchamiania w trybie wykrywania zapora aplikacji internetowej nie wykonuje żadnych innych akcji innych niż monitory i rejestruje żądanie oraz dopasowaną regułę zapory aplikacji internetowej do dzienników zapory aplikacji internetowej. Możesz włączyć diagnostykę rejestrowania dla usługi CDN. W przypadku korzystania z portalu przejdź do sekcji Diagnostyka.
Tryb zapobiegania: W trybie zapobiegania zapora aplikacji internetowej wykonuje określoną akcję, jeśli żądanie pasuje do reguły. Jeśli dopasowanie zostanie znalezione, nie zostaną ocenione żadne dalsze reguły o niższym priorytetu. Wszystkie dopasowane żądania są również rejestrowane w dziennikach zapory aplikacji internetowej.
Akcje zapory aplikacji internetowej
Możesz wybrać jedną z następujących akcji, gdy żądanie pasuje do warunków reguły:
- Zezwalaj: żądanie przechodzi przez zaporę aplikacji internetowej i jest przekazywane do zaplecza. Żadne dalsze reguły o niższym priorytcie nie mogą blokować tego żądania.
- Blokuj: żądanie jest zablokowane, a zapora aplikacji internetowej wysyła odpowiedź do klienta bez przekazywania żądania do zaplecza.
- Dziennik: żądanie jest rejestrowane w dziennikach zapory aplikacji internetowej, a zapora aplikacji internetowej kontynuuje ocenianie reguł o niższym priorytcie.
- Przekierowanie: Zapora aplikacji internetowej przekierowuje żądanie do określonego identyfikatora URI. Określony identyfikator URI jest ustawieniem poziomu zasad. Po skonfigurowaniu wszystkie żądania zgodne z akcją Przekierowanie są wysyłane do tego identyfikatora URI.
Reguły zapory aplikacji internetowej
Zasady zapory aplikacji internetowej mogą składać się z dwóch typów reguł zabezpieczeń:
- reguły niestandardowe: reguły, które można utworzyć samodzielnie.
- zarządzane zestawy reguł: zarządzany wstępnie skonfigurowany zestaw reguł platformy Azure, które można włączyć.
Reguły niestandardowe
Reguły niestandardowe mogą mieć reguły dopasowania i reguły kontroli szybkości.
Można skonfigurować następujące niestandardowe reguły dopasowania:
Lista dozwolonych adresów IP i lista zablokowanych: możesz kontrolować dostęp do aplikacji internetowych na podstawie listy adresów IP klienta lub zakresów adresów IP. Obsługiwane są zarówno typy adresów IPv4, jak i IPv6. Reguły listy adresów IP używają adresu IP RemoteAddress zawartego w nagłówku żądania X-Forwarded-For, a nie socketAddress widocznym przez zaporę aplikacji internetowej. Listy adresów IP można skonfigurować do blokowania lub zezwalania na żądania, w których adres IP RemoteAddress pasuje do adresu IP na liście. Jeśli istnieje wymóg blokowania żądania na źródłowym adresie IP widocznym przez zaporę aplikacji internetowej, na przykład adres serwera proxy, jeśli użytkownik znajduje się za serwerem proxy, należy użyć warstw Standardowa lub Premium usługi Azure Front Door. Aby uzyskać więcej informacji, zobacz Konfigurowanie reguły ograniczeń adresów IP za pomocą zapory aplikacji internetowej dla usługi Azure Front Door , aby uzyskać szczegółowe informacje.
Geograficzna kontrola dostępu: możesz kontrolować dostęp do aplikacji internetowych na podstawie kodu kraju skojarzonego z adresem IP klienta.
Kontrola dostępu oparta na parametrach HTTP: reguły można opierać na dopasowaniach ciągów w parametrach żądania HTTP/HTTPS. Na przykład ciągi zapytania, args POST, identyfikator URI żądania, nagłówek żądania i treść żądania.
Kontrola dostępu oparta na metodzie żądania: reguły są oparte na metodzie żądania HTTP żądania. Na przykład GET, PUT lub HEAD.
Ograniczenie rozmiaru: reguły można opierać na długości określonych części żądania, takich jak ciąg zapytania, identyfikator URI lub treść żądania.
Reguła kontroli szybkości ogranicza nietypowo duży ruch z dowolnego adresu IP klienta.
- Reguły ograniczania szybkości: można skonfigurować próg liczby żądań internetowych dozwolonych z adresu IP klienta w ciągu jednej minuty. Ta reguła różni się od reguły niestandardowej zezwalania/blokowania opartej na liście adresów IP, która zezwala na wszystkie żądania lub blokuje wszystkie żądania z adresu IP klienta. Limity szybkości można łączyć z bardziej zgodnymi warunkami, takimi jak dopasowania parametrów HTTP(S) dla szczegółowej kontroli szybkości.
Zestawy reguł zarządzanych przez platformę Azure
Zestawy reguł zarządzanych przez platformę Azure umożliwiają łatwe wdrażanie ochrony przed typowym zestawem zagrożeń bezpieczeństwa. Ponieważ platforma Azure zarządza tymi zestawami reguł, reguły są aktualizowane zgodnie z potrzebami w celu ochrony przed nowymi sygnaturami ataków. Domyślny zestaw reguł zarządzanych przez platformę Azure zawiera reguły dla następujących kategorii zagrożeń:
- Skrypty między witrynami
- Ataki w języku Java
- Włączenie plików lokalnych
- Ataki iniekcyjne w języku PHP
- Zdalne wykonywanie poleceń
- Włączenie plików zdalnych
- Fiksacja sesji
- Ochrona przed atakami polegającymi na iniekcji SQL
- Atakujący protokoły
Numer wersji domyślnego zestawu reguł zwiększa się po dodaniu nowych podpisów ataków do zestawu reguł. Domyślny zestaw reguł jest domyślnie włączony w trybie wykrywania w zasadach zapory aplikacji internetowej. Możesz wyłączyć lub włączyć poszczególne reguły w domyślnym zestawie reguł, aby spełnić wymagania aplikacji. Można również ustawić określone akcje (ALLOW/BLOCK/REDIRECT/LOG) na regułę. Domyślną akcją zarządzanego domyślnego zestawu reguł jest Blokuj.
Reguły niestandardowe są zawsze stosowane przed obliczeniu reguł w domyślnym zestawie reguł. Jeśli żądanie pasuje do reguły niestandardowej, zostanie zastosowana odpowiednia akcja reguły. Żądanie jest zablokowane lub przekazywane do zaplecza. Żadne inne reguły niestandardowe ani reguły w domyślnym zestawie reguł nie są przetwarzane. Możesz również usunąć domyślny zestaw reguł z zasad zapory aplikacji internetowej.
Konfigurowanie
Wszystkie typy reguł zapory aplikacji internetowej można konfigurować i wdrażać przy użyciu witryny Azure Portal, interfejsów API REST, szablonów usługi Azure Resource Manager i programu Azure PowerShell.
Monitorowanie
Monitorowanie zapory aplikacji internetowej za pomocą usługi CDN jest zintegrowane z usługą Azure Monitor w celu śledzenia alertów i łatwego monitorowania trendów ruchu.