Firewall do Aplicativo Web do Azure no Azure Front DoorAzure Web Application Firewall on Azure Front Door

O WAF (Firewall do aplicativo Web) do Azure no Azure Front Door fornece proteção centralizada para seus aplicativos Web.Azure Web Application Firewall (WAF) on Azure Front Door provides centralized protection for your web applications. O WAF defende seus serviços Web contra explorações e vulnerabilidades comuns.WAF defends your web services against common exploits and vulnerabilities. Ele mantém seu serviço altamente disponível para seus usuários e ajuda você a atender aos requisitos de conformidade.It keeps your service highly available for your users and helps you meet compliance requirements.

O WAF no Front Door é uma solução global e centralizada.WAF on Front Door is a global and centralized solution. Ele é implantado em localizações de borda da rede do Azure em todo o mundo.It's deployed on Azure network edge locations around the globe. Os aplicativos Web habilitados para WAF inspecionam todas as solicitações de entrada entregues pelo Front Door na borda da rede.WAF enabled web applications inspect every incoming request delivered by Front Door at the network edge.

O WAF impede ataques mal-intencionados próximos às fontes de ataque, antes que eles entrem em sua rede virtual.WAF prevents malicious attacks close to the attack sources, before they enter your virtual network. Você obtém proteção global em escala sem sacrificar o desempenho.You get global protection at scale without sacrificing performance. Uma política WAF vincula-se facilmente a qualquer perfil do Front Door em sua assinatura.A WAF policy easily links to any Front Door profile in your subscription. Novas regras podem ser implantadas em minutos. Portanto, você pode responder rapidamente a padrões de ameaça em constante mudança.New rules can be deployed within minutes, so you can respond quickly to changing threat patterns.

Firewall do aplicativo Web do Azure

Política e regras do WAFWAF policy and rules

Você pode configurar uma política de WAF e associá-la a um ou mais front-ends do Front Door para proteção.You can configure a WAF policy and associate that policy to one or more Front Door front-ends for protection. Uma política do WAF consiste em dois tipos de regras de segurança:A WAF policy consists of two types of security rules:

  • regras personalizadas criadas pelo cliente.custom rules that are authored by the customer.

  • conjuntos de regras gerenciadas que são uma coleção do conjunto de regras pré-configurado gerenciado pelo Azure.managed rule sets that are a collection of Azure-managed pre-configured set of rules.

Quando ambas estiverem presentes, as regras personalizadas serão processadas antes das regras em um conjunto de regras gerenciado.When both are present, custom rules are processed before processing the rules in a managed rule set. Uma regra é composta por uma condição de correspondência, uma prioridade e uma ação.A rule is made of a match condition, a priority, and an action. Os tipos de ação com suporte são: PERMITIR, BLOQUEAR, REGISTRAR e REDIRECIONAR.Action types supported are: ALLOW, BLOCK, LOG, and REDIRECT. Você pode criar uma política totalmente personalizada que atenda aos seus requisitos de proteção de aplicativo específicos combinando regras gerenciadas e personalizadas.You can create a fully customized policy that meets your specific application protection requirements by combining managed and custom rules.

As regras em uma política são processadas em uma ordem de prioridade.Rules within a policy are processed in a priority order. A prioridade é um inteiro exclusivo que define a ordem de regras a serem processadas.Priority is a unique integer that defines the order of rules to process. Um valor inteiro menor denota uma prioridade maior. Essas regras são avaliadas antes daquelas com um valor inteiro mais alto.Smaller integer value denotes a higher priority and those rules are evaluated before rules with a higher integer value. Quando há correspondência de uma regra, a ação relevante definida na regra é aplicada à solicitação.Once a rule is matched, the corresponding action that was defined in the rule is applied to the request. Depois de essa correspondência ser processada, as regras com prioridades menores não serão mais processadas.Once such a match is processed, rules with lower priorities aren't processed further.

Um aplicativo Web entregue pelo Front Door pode ter apenas uma política WAF associada por vez.A web application delivered by Front Door can have only one WAF policy associated with it at a time. No entanto, você pode ter uma configuração de Front Door sem nenhuma política de WAF associada.However, you can have a Front Door configuration without any WAF policies associated with it. Se uma política WAF estiver presente, ela será replicada para todas as localizações de borda para garantir a consistência em políticas de segurança em todo o mundo.If a WAF policy is present, it's replicated to all of our edge locations to ensure consistent security policies across the world.

Modos de WAFWAF modes

A política de WAF pode ser configurada para ser executada nos dois modos a seguir:WAF policy can be configured to run in the following two modes:

  • Modo de detecção: Quando executado no modo de detecção, o WAF não executa outras ações além de monitores e registra a solicitação e sua regra WAF correspondente nos logs do WAF.Detection mode: When run in detection mode, WAF doesn't take any other actions other than monitors and logs the request and its matched WAF rule to WAF logs. Você pode ativar o diagnóstico de log para o Front Door.You can turn on logging diagnostics for Front Door. Ao usar o portal, vá para a seção Diagnóstico.When you use the portal, go to the Diagnostics section.

  • Modo de prevenção: No modo de prevenção, o WAF executará a ação especificada se uma solicitação corresponder a uma regra.Prevention mode: In prevention mode, WAF takes the specified action if a request matches a rule. Se uma correspondência for encontrada, nenhuma regra adicional com prioridade mais baixa será avaliada.If a match is found, no further rules with lower priority are evaluated. Qualquer solicitação correspondente também é registrada nos logs do WAF.Any matched requests are also logged in the WAF logs.

Ações de WAFWAF actions

Os clientes do WAF podem optar por executar uma das ações quando uma solicitação corresponde às condições de uma regra:WAF customers can choose to run from one of the actions when a request matches a rule’s conditions:

  • Permitir: a solicitação passa pelo WAF e é encaminhada para o back-end.Allow: Request passes through the WAF and is forwarded to back-end. Nenhuma outra regra de prioridade mais baixa pode bloquear essa solicitação.No further lower priority rules can block this request.
  • Bloquear: a solicitação é bloqueada e o WAF envia uma resposta ao cliente sem encaminhar a solicitação ao back-end.Block: The request is blocked and WAF sends a response to the client without forwarding the request to the back-end.
  • Registrar em log: a solicitação é registrada nos logs do WAF e o WAF continua avaliando as regras de prioridade mais baixa.Log: Request is logged in the WAF logs and WAF continues evaluating lower priority rules.
  • Redirecionar: o WAF redireciona a solicitação para o URI especificado.Redirect: WAF redirects the request to the specified URI. O URI especificado é uma configuração em nível de política.The URI specified is a policy level setting. Depois de configuradas, todas as solicitações que correspondem à ação Redirecionar são enviadas para esse URI.Once configured, all requests that match the Redirect action will be sent to that URI.

Regras de WAFWAF rules

Uma política do WAF pode consistir em dois tipos de regras de segurança: regras personalizadas, criadas pelo cliente, e conjuntos de regras gerenciados, um conjunto de regras pré-configurado gerenciado pelo Azure.A WAF policy can consist of two types of security rules - custom rules, authored by the customer and managed rulesets, Azure-managed pre-configured set of rules.

Regras criadas personalizadasCustom authored rules

Você pode configurar regras personalizadas WAF da seguinte maneira:You can configure custom rules WAF as follows:

  • Lista de contatos bloqueados e lista de permissões de IP: você pode controlar o acesso a aplicativos Web com base em uma lista de endereços IP ou intervalos de endereço IP do cliente.IP allow list and block list: You can control access to your web applications based on a list of client IP addresses or IP address ranges. Há suporte para os tipos de endereço IPv4 e IPv6.Both IPv4 and IPv6 address types are supported. Essa lista pode ser configurada para bloquear ou permitir as solicitações em que o IP de origem corresponde a um IP na lista.This list can be configured to either block or allow those requests where the source IP matches an IP in the list.

  • Controle de acesso baseado em região geográfica: você pode controlar o acesso a seus aplicativos Web com base no código do país associado ao endereço IP de um cliente.Geographic based access control: You can control access to your web applications based on the country code that's associated with a client’s IP address.

  • Controle de acesso baseado em parâmetros HTTP: Você pode basear regras em correspondências de cadeia de caracteres em parâmetros de solicitação HTTP/HTTPS.HTTP parameters-based access control: You can base rules on string matches in HTTP/HTTPS request parameters. Por exemplo, cadeias de caracteres de consulta, argumentos POST, URI de Solicitação, Cabeçalho de Solicitação e Corpo da Solicitação.For example, query strings, POST args, Request URI, Request Header, and Request Body.

  • Solicitar controle de acesso baseado em método: As regras baseadas no método de solicitação HTTP da solicitação.Request method-based access control: You based rules on the HTTP request method of the request. Por exemplo, GET, PUT ou HEAD.For example, GET, PUT, or HEAD.

  • Restrição de tamanho: você pode basear regras nos comprimentos de partes específicas de uma solicitação, como cadeia de consulta, URI ou corpo da solicitação.Size constraint: You can base rules on the lengths of specific parts of a request such as query string, Uri, or request body.

  • Regras de limitação de taxa: Uma regra de controle de taxa tem a finalidade de limitar tráfego anormalmente alto proveniente de qualquer IP de cliente.Rate limiting rules: A rate control rule is to limit abnormal high traffic from any client IP. Você pode configurar um número limite de solicitações Web permitidas de um IP de cliente no intervalo de um minuto.You may configure a threshold on the number of web requests allowed from a client IP during a one-minute duration. Essa regra é diferente de uma regra personalizada de permitir/bloquear baseada em lista de IPs que permite ou bloqueia todas as solicitações de um IP do cliente.This rule is distinct from an IP list-based allow/block custom rule that either allows all or blocks all request from a client IP. Os limites de taxa podem ser combinados com condições de correspondência adicionais, como correspondências de parâmetros HTTP(S) para controle de taxa granular.Rate limits can be combined with additional match conditions such as HTTP(S) parameter matches for granular rate control.

Conjuntos de regras gerenciados pelo AzureAzure-managed rule sets

Os conjuntos de regras gerenciados pelo Azure oferecem uma maneira fácil de implantar a proteção contra um conjunto comum de ameaças de segurança.Azure-managed rule sets provide an easy way to deploy protection against a common set of security threats. Como esses conjuntos de regras são gerenciados pelo Azure, as regras são atualizadas conforme necessário para proteção contra novas assinaturas de ataque.Since such rulesets are managed by Azure, the rules are updated as needed to protect against new attack signatures. O Conjunto de Regras Padrão gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaça:Azure-managed Default Rule Set includes rules against the following threat categories:

  • Script entre sitesCross-site scripting
  • Ataques de JavaJava attacks
  • Inclusão de arquivo localLocal file inclusion
  • Ataque de injeção de PHPPHP injection attacks
  • Execução de comando remotoRemote command execution
  • Inclusão de arquivo remotoRemote file inclusion
  • Fixação da sessãoSession fixation
  • Proteção contra injeção de SQLSQL injection protection
  • Invasores de protocoloProtocol attackers

O número de versão do Conjunto de Regras Padrão será incrementado quando novas assinaturas de ataque forem adicionadas ao conjunto de regras.The version number of the Default Rule Set increments when new attack signatures are added to the rule set. O Conjunto de Regras Padrão é habilitado por padrão no modo de detecção em suas políticas de WAF.Default Rule Set is enabled by default in Detection mode in your WAF policies. Você pode desabilitar ou habilitar regras individuais dentro do Conjunto de Regras Padrão para atender aos requisitos do aplicativo.You can disable or enable individual rules within the Default Rule Set to meet your application requirements. Você também pode definir ações específicas (PERMITIR/BLOQUEAR/REDIRECIONAR/REGISTRAR EM LOG) por regra.You can also set specific actions (ALLOW/BLOCK/REDIRECT/LOG) per rule.

Às vezes, você pode omitir certos atributos de solicitação de uma avaliação do WAF.Sometimes you may need to omit certain request attributes from a WAF evaluation. Um exemplo comum são os tokens inseridos pelo Active Directory que são usados para autenticação.A common example is Active Directory-inserted tokens that are used for authentication. Você pode configurar uma lista de exclusões para uma regra gerenciada, para um grupo de regras ou para todo o conjunto de regras.You may configure an exclusion list for a managed rule, rule group, or for the entire rule set.

A ação padrão é BLOQUEAR.The Default action is to BLOCK. Além disso, as regras personalizadas poderão ser configuradas na mesma política WAF se você desejar ignorar qualquer uma das regras pré-configuradas no Conjunto de Regras Padrão.Additionally, custom rules can be configured in the same WAF policy if you wish to bypass any of the pre-configured rules in the Default Rule Set.

As regras personalizadas sempre são aplicadas antes de as regras no conjunto de regras padrão serem avaliadas.Custom rules are always applied before rules in the Default Rule Set are evaluated. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada.If a request matches a custom rule, the corresponding rule action is applied. A solicitação é bloqueada ou passada pelo back-end.The request is either blocked or passed through to the back-end. Nenhuma outra regra personalizada ou as regras no Conjunto de Regras Padrão são processadas.No other custom rules or the rules in the Default Rule Set are processed. Você também pode remover o Conjunto de Regras Padrão de suas políticas WAF.You can also remove the Default Rule Set from your WAF policies.

Conjunto de regras de proteção contra bots (versão prévia)Bot protection rule set (preview)

Você pode habilitar um conjunto de regras de proteção contra bots gerenciado para execute ações personalizadas em solicitações de categorias de bots conhecidas.You can enable a managed bot protection rule set to take custom actions on requests from known bot categories.

Há três categorias de bot compatíveis: Bom, Ruim e Desconhecido.There are three bot categories supported: Bad, Good, and Unknown. As assinaturas de bot são gerenciadas e atualizadas dinamicamente pela plataforma WAF.Bot signatures are managed and dynamically updated by the WAF platform.

Bots ruins incluem bots de endereços IP mal-intencionados e bots que falsificaram as identidades deles.Bad bots include bots from malicious IP addresses and bots that have falsified their identities. Os endereços IP mal-intencionados são originados do feed de Inteligência contra Ameaças da Microsoft e atualizados a cada hora.Malicious IP addresses are sourced from the Microsoft Threat Intelligence feed and updated every hour. O Grafo de Segurança Inteligente potencializa a Inteligência contra Ameaças da Microsoft e é usado por vários serviços, incluindo a Central de Segurança do Azure.Intelligent Security Graph powers Microsoft Threat Intelligence and is used by multiple services including Azure Security Center.

Os bots bons incluem mecanismos de pesquisa validados.Good Bots include validated search engines. As categorias desconhecidas incluem grupos de bot adicionais que se identificaram como bots.Unknown categories include additional bot groups that have identified themselves as bots. Por exemplo, analisador de mercado, buscadores de feeds e agentes de coleta de dados.For example, market analyzer, feed fetchers and data collection agents.

Os bots desconhecidos são classificados por meio de agentes de usuário publicados sem validação adicional.Unknown bots are classified via published user agents without additional validation. Você pode definir ações personalizadas para bloquear, permitir, registrar em log ou redirecionar para diferentes tipos de bots.You can set custom actions to block, allow, log, or redirect for different types of bots.

Conjunto de regras de proteção contra bots

Importante

O conjunto de regras de proteção contra bots está atualmente em versão prévia pública e é fornecido com um contrato de nível de serviço de versão prévia pública.The Bot protection rule set is currently in public preview and is provided with a preview service level agreement. Alguns recursos podem não ter suporte ou podem ter restrição de recursos.Certain features may not be supported or may have constrained capabilities. Veja os Termos de Uso Adicionais para Visualizações do Microsoft Azure para obter detalhes.See the Supplemental Terms of Use for Microsoft Azure Previews for details.

Se a proteção contra bots estiver habilitada, as solicitações de entrada que corresponderem a regras de bots serão registradas no log FrontdoorWebApplicationFirewallLog.If bot protection is enabled, incoming requests that match bot rules are logged at the FrontdoorWebApplicationFirewallLog log. Você pode acessar os logs do WAF de uma conta de armazenamento, hub de eventos ou análise de logs.You may access WAF logs from a storage account, event hub, or log analytics.

ConfiguraçãoConfiguration

Você pode configurar e implantar todos os tipos de regras WAF que usam o portal do Azure, as APIs REST, os modelos do Azure Resource Manager e o Azure PowerShell.You can configure and deploy all WAF rule types using the Azure portal, REST APIs, Azure Resource Manager templates, and Azure PowerShell.

MonitoramentoMonitoring

O monitoramento para WAF no Front Door é integrado ao Azure Monitor para acompanhar alertas e monitorar facilmente as tendências de tráfego.Monitoring for WAF at Front Door is integrated with Azure Monitor to track alerts and easily monitor traffic trends.

Próximas etapasNext steps