Брандмауэр веб-приложения (WAF) в Azure Front Door

Брандмауэр веб-приложения Azure (WAF) в Azure Front Door обеспечивает централизованную защиту веб-приложений. WAF защищает веб-службы от распространенных эксплойтов и уязвимостей. Он обеспечивает высокую доступность службы для пользователей и помогает отвечать требованиям соответствия. В этой статье вы узнаете о различных возможностях брандмауэра веб-приложения Azure в Azure Front Door. Подробные сведения см. в статье WAF в Azure Front Door.

Diagram of Web Application Firewall applied to an Azure Front Door environment.

Параметры политики

Политика брандмауэра веб-приложения (WAF) позволяет управлять доступом к веб-приложениям с помощью набора настраиваемых и управляемых правил. Можно изменить состояние политики или настроить конкретный тип для политики. В зависимости от параметров уровня политики можно активно проверять входящие запросы, ограничиться их отслеживанием или отслеживать их и выполнять действия по запросам в соответствии с правилом. Дополнительные сведения см. в разделе Настройки политики WAF.

Управляемые правила

Брандмауэр веб-приложения (WAF) для службы Azure Front Door защищает веб-приложения от распространенных уязвимостей и эксплойтов. Наборы правил, управляемые Azure, позволяют легко развернуть защиту от типичного набора угроз безопасности. Этими наборами правил управляет Azure, а значит они быстро обновляются по мере необходимости для защиты от новых сигнатур атак. Стандартный набор правил также включает правила сбора аналитики угроз (Майкрософт), которые записываются совместно с командой аналитиков Майкрософт, чтобы обеспечить больший охват, исправления для конкретных уязвимостей и более эффективное сокращение ложноположительных результатов. Дополнительные сведения см. в разделе Управляемые правила WAF.

Примечание

  • Управляемые правила поддерживаются только в Azure Front Door Premium и Azure Front Door (классическая версия).
  • Azure Front Door (классическая версия) поддерживает только DRS 1.1 или более ранних версий.

Настраиваемые правила

Брандмауэр веб-приложения Azure (WAF) с интерфейсом Front Door позволяет управлять доступом к веб-приложениям на основе определенных условий. Настраиваемое правило WAF состоит из номера приоритета, типа правила, условий соответствия и действия. Существует два типа настраиваемых правил: сопоставления и ограничения скорости. Правило соответствия управляет доступом через набор условий сопоставления, а правило ограничения скорости — через сопоставление условий с учетом частоты входящих запросов. Дополнительные сведения см. в статье Настраиваемые правила WAF.

Списки исключений

Брандмауэр веб-приложения (WAF) Azure может в отдельных случаях блокировать запрос, который требуется разрешить для приложения. Список исключений WAF позволяет исключать определенные атрибуты запроса из вычисления WAF и разрешить обрабатывать остальную часть запроса в обычном режиме. Дополнительные сведения см. в разделе Списки исключений WAF.

Геофильтрация

По умолчанию Azure Front Door будет отвечать на все запросы пользователей независимо от расположения, из которого поступает запрос. Геофильтрация позволяет ограничить доступ к веб-приложению по странам и регионам. Дополнительные сведения см. в статье Геофильтрация WAF.

Защита от ботов

Брандмауэр веб-приложений Azure (WAF) для Front Door предоставляет правила для обнаружения доверенных ботов и защиты от недопустимых ботов. Дополнительные сведения см. в разделе Настройка защиты от ботов.

Ограничение по IP-адресу

Правило контроля доступа на основе IP-адресов — это настраиваемое правило WAF, которое позволяет управлять доступом к веб-приложениям путем указания списка IP-адресов или диапазонов IP-адресов. Дополнительные сведения см. в разделе Настройка ограничения по IP-адресу.

Ограничение частоты

Настраиваемое правило ограничения скорости управляет доступом с учетом соответствующих условий и скорости входящих запросов. Дополнительные сведения см. в разделе Настройка ограничения скорости.

Настройка

Набор правил по умолчанию, управляемый корпорацией Майкрософт, основан на основном наборе правил OWASP (CRS) и включает правила сбора данных аналитики угроз Майкрософт. Брандмауэр веб-приложения Azure (WAF) позволяет настроить правила WAF в соответствии с потребностями приложения и требованиями, которые организация предъявляет к WAF. Можно ожидать, что будут доступны следующие функции настройки: определение исключений для правил, создание настраиваемых правил и отключение правил. Дополнительные сведения см. в статье Настройка WAF.

Мониторинг и ведение журналов

Мониторинг и ведение журнала брандмауэра веб-приложения Azure (WAF) осуществляется с помощью ведения журналов и интеграции с журналами Azure Monitor. Дополнительные сведения см. в статье Ведение журнала и мониторинг брандмауэра веб-приложения Azure (WAF).

Следующие шаги