Perguntas mais frequentes sobre o Azure Firewall de Aplicações Web no Azure Front Door Service

O Azure WAF é uma firewall de aplicações Web que ajuda a proteger as suas aplicações Web contra ameaças comuns, como a injeção de SQL, scripts entre sites e outras explorações Web. Pode definir uma política WAF que consiste numa combinação de regras personalizadas e geridas para controlar o acesso às suas aplicações Web.

Uma política WAF do Azure pode ser aplicada a aplicações Web alojadas no Gateway de Aplicação ou no Azure Front Doors.

O Azure Front Door é uma rede de entrega de conteúdos e aplicações altamente dimensionáveis e distribuídas globalmente. O Azure WAF, quando integrado com o Front Door, para os ataques de aplicação denial-of-service e direcionados na margem da rede do Azure, perto de origens de ataque antes de entrarem na sua rede virtual, oferece proteção sem sacrificar o desempenho.

O Front Door oferece descarregamento TLS. A WAF está integrada nativamente com o Front Door e pode inspecionar um pedido depois de ser desencriptado.

Sim. Pode configurar a restrição de IP para IPv4 e IPv6.

Fazemos o nosso melhor para acompanhar a mudança do panorama das ameaças. Assim que uma nova regra for atualizada, é adicionada ao Conjunto de Regras Predefinido com um novo número de versão.

A maioria das implementações de políticas WAF são concluídas em menos de 20 minutos. Pode esperar que a política entre em vigor assim que a atualização for concluída em todas as localizações edge a nível global.

Quando integrado com o Front Door, o WAF é um recurso global. Aplica-se a mesma configuração em todas as localizações do Front Door.

Pode configurar a Lista de Controlo de Acesso IP no back-end para permitir apenas intervalos de endereços IP de saída do Front Door com a etiqueta de serviço do Azure Front Door e negar qualquer acesso direto a partir da Internet. As etiquetas de serviço são suportadas para utilização na sua rede virtual. Além disso, pode verificar se o campo de cabeçalho HTTP X-Forwarded-Host é válido para a sua aplicação Web.

Existem duas opções ao aplicar políticas WAF no Azure. A WAF com o Azure Front Door é uma solução de segurança edge distribuída globalmente. A WAF com Gateway de Aplicação é uma solução regional dedicada. Recomendamos que escolha uma solução com base nos seus requisitos gerais de desempenho e segurança. Para obter mais informações, veja Balanceamento de carga com o conjunto de entrega de aplicações do Azure.

Quando ativa a WAF numa aplicação existente, é comum ter deteções de falsos positivos em que as regras waf detetam tráfego legítimo como uma ameaça. Para minimizar o risco de impacto para os seus utilizadores, recomendamos o seguinte processo:

• Ative a WAF no modo de Deteção para garantir que a WAF não bloqueia os pedidos enquanto estiver a trabalhar neste processo. Este passo é recomendado para fins de teste na WAF.

  Importante

  Este processo descreve como ativar a WAF numa solução nova ou existente quando a sua prioridade é minimizar a perturbação para os utilizadores da sua aplicação. Se estiver sob ataque ou ameaça iminente, poderá querer implementar imediatamente a WAF no modo de Prevenção e utilizar o processo de otimização para monitorizar e otimizar a WAF ao longo do tempo. Isto provavelmente fará com que algum do seu tráfego legítimo seja bloqueado, razão pela qual só recomendamos fazê-lo quando estiver sob ameaça.

• Siga a nossa documentação de orientação para otimizar a WAF. Este processo requer que ative o registo de diagnósticos, reveja os registos regularmente e adicione exclusões de regras e outras mitigações.
• Repita todo este processo, verificando os registos regularmente, até estar satisfeito com o facto de não estar bloqueado qualquer tráfego legítimo. Todo o processo pode demorar várias semanas. Idealmente, deverá ver menos deteções de falsos positivos após cada alteração de ajuste que fizer.
• Por fim, ative a WAF no modo de Prevenção.
• Mesmo quando estiver a executar a WAF em produção, deve continuar a monitorizar os registos para identificar quaisquer outras deteções de falsos positivos. Rever regularmente os registos também o ajudará a identificar quaisquer tentativas de ataque reais que tenham sido bloqueadas.

Atualmente, as regras ModSec CRS 3.0, CRS 3.1 e CRS 3.2 só são suportadas com WAF no Gateway de Aplicação. A limitação da taxa e as regras do Conjunto de Regras Predefinidas geridas pelo Azure são suportadas apenas com WAF no Azure Front Door.

Distribuído globalmente nas margens de rede do Azure, o Azure Front Door pode absorver e isolar geograficamente grandes ataques de volume. Pode criar uma política WAF personalizada para bloquear e limitar automaticamente os ataques http(s) que têm assinaturas conhecidas. Além disso, pode ativar a Proteção de Rede DDoS na VNet onde os back-ends são implementados. Os clientes do Azure DDoS Protection recebem benefícios adicionais, incluindo proteção de custos, garantia de SLA e acesso a especialistas da Equipa de Resposta Rápida do DDoS para obter ajuda imediata durante um ataque. Para obter mais informações, veja Proteção de DDoS no Front Door.

Poderá não ver pedidos imediatamente bloqueados pelo limite de taxa quando os pedidos são processados por diferentes servidores do Front Door. Para obter mais informações, veja Limitação de taxas e servidores front door.

A WAF do Front Door suporta os seguintes tipos de conteúdo:

• DRS 2.0

  Regras geridas

  • application/json
  • aplicação/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Regras personalizadas

  • application/x-www-form-urlencoded

• DRS 1.x

  Regras geridas

  • application/x-www-form-urlencoded
  • texto/simples

  Regras personalizadas

  • application/x-www-form-urlencoded

Não, não pode. O perfil AFD e a política WAF têm de estar na mesma subscrição.

Passos seguintes

• Saiba mais sobre o Azure Firewall de Aplicações Web.
• Saiba mais sobre o Azure Front Door.