Часто задаваемые вопросы о Брандмауэре веб-приложений Azure в службе Azure Front Door

Azure WAF — это брандмауэр веб-приложения, который помогает защитить веб-приложения от распространенных угроз, таких как внедрение кода SQL, межсайтовые сценарии и другие веб-атаки. Вы можете определить политику WAF, состоящую из сочетания настраиваемых и управляемых правил для управления доступом к веб-приложениям.

Политику Брандмауэра веб-приложения Azure можно применить к веб-приложениям, расположенным на Шлюзе приложений или Azure Front Doors.

Azure Front Door — это глобально распределенная сеть с высоким уровнем масштабируемости, которая служит для распространения приложений и содержимого. Брандмауэр веб-приложения Azure (Azure WAF) интегрирован в службу Front Door. Его предназначение — обеспечивать защиту без ущерба для производительности, останавливая атаки типа «отказ в обслуживании» и атаки на приложения на границе сети Azure, рядом с источниками атак, чтобы они не могли распространиться в виртуальную сеть.

Служба Front Door поддерживает разгрузку TLS. WAF изначально интегрирован с Front Door и может проверять запрос после расшифровки.

Да. Можно настроить ограничение IP-адресов для IPv4 и IPv6.

Мы делаем все возможное, чтобы адаптироваться к новым угрозам. После создания нового правила оно добавляется в набор правил по умолчанию с новым номером версии.

Большинство развертываний политик WAF выполняется менее чем за 20 минут. Ожидается, что политика вступит в силу, как только обновление будет завершено во всех пограничных расположениях по всему миру.

При интеграции с Front Door WAF становится глобальным ресурсом. Одна и та же конфигурация применяется ко всем расположениям Front Door.

Вы можете настроить список IP-контроль доступа в серверной части, чтобы разрешить только исходящие диапазоны IP-адресов Front Door с помощью тега службы Azure Front Door и запретить прямой доступ из Интернета. Для виртуальной сети можно использовать теги службы. Кроме того, убедитесь, что в поле заголовка HTTP X-Forwarded-Host указано допустимое значение для вашего веб-приложения.

Существует два варианта применения политик WAF в Azure. WAF с Azure Front Door — это глобально распределенное решение для обеспечения безопасности. WAF со шлюзом приложений Azure — это выделенное региональное решение. Мы рекомендуем выбирать решение на основе общих требований к производительности и безопасности. Дополнительные сведения см. в статье Балансировка нагрузки с помощью набора служб Azure для предоставления приложения.

При включении WAF в существующем приложении часто происходят ложные срабатывания из-за того, что правила WAF определяют допустимый трафик как угрозу. Чтобы снизить риск воздействия на пользователей, рекомендуем использовать следующий процесс:

• Включите режим обнаружения WAF, чтобы убедиться, что WAF не блокирует запросы во время работы с этим процессом. Этот шаг рекомендуется для тестирования в WAF.

  Важно!

  В этом процессе описывается, как включить WAF для нового или существующего решения с минимальным вмешательством в работу пользователей приложения. При атаке или возникновении угрозы может потребоваться немедленно развернуть WAF в режиме предотвращения и использовать процесс настройки для отслеживания и настройки WAF с течением времени. Это может привести к блокированию трафика, поэтому мы советуем использовать этот режим только в случае угрозы.

• Следуйте нашим рекомендациям по настройке WAF. Для этого процесса необходимо включить ведение журналов диагностики, регулярно просматривать такие журналы, чтобы добавлять исключения правил и принимать другие меры.
• Эти действия требуется повторить несколько раз, включая регулярную проверку журналов, пока вы не удостоверитесь, что блокируется только запрещенный трафик. Весь процесс может занять несколько недель. В идеале после каждого изменения настройки должно быть меньше ложных срабатываний.
• Наконец, включите WAF в режиме предотвращения.
• Мониторинг журналов следует проводить даже после запуска WAF в рабочей среде, чтобы выявлять новые ложные срабатывания. Регулярная проверка журналов также помогает определять реальные попытки атак, которые были заблокированы.

В настоящее время правила ModSec CRS 3.0, CRS 3.1 и CRS 3.2 поддерживаются только в WAF на Шлюз приложений. Ограничения скорости и правила набора правил по умолчанию, управляемые Azure, поддерживаются только в WAF в Azure Front Door.

Azure Front Door размещается на краях сети Azure, чтобы замедлять и географически изолировать крупномасштабные атаки. Вы можете создать настраиваемую политику WAF, чтобы автоматически выполнять блокировку и ограничивать скорость при атаках http(s) с известными подписями. Кроме того, вы можете включить защиту от атак DDoS в виртуальной сети, в которой развернуты серверные серверы. Клиенты защиты от атак DDoS Azure получают дополнительные преимущества, включая защиту от затрат, гарантию соглашения об уровне обслуживания и доступ к экспертам из группы быстрого реагирования на DDoS для немедленной помощи во время атаки. Дополнительные сведения см. в статье Защита от атак DDoS в службе Front Door.

Когда запросы обрабатываются разными серверами Front Door, заблокированные из-за ограничения скорости запросы могут отображаться с задержкой. Дополнительные сведения см. в разделе Ограничение скорости и серверы Front Door.

Брандмауэр веб-приложения для Azure Front Door поддерживает следующие типы содержимого:

• DRS 2.0

  Управляемые правила

  • приложение/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Настраиваемые правила

  • application/x-www-form-urlencoded

• DRS 1.x

  Управляемые правила

  • application/x-www-form-urlencoded
  • text/plain

  Настраиваемые правила

  • application/x-www-form-urlencoded

Нет, нельзя. Профиль AFD и политика WAF должны находиться в одной подписке.

Дальнейшие действия

• Узнайте больше о брандмауэре веб-приложения Azure.
• Узнайте больше о Azure Front Door.