Azure Web Application-brandvägg i Azures front dörrAzure Web Application Firewall on Azure Front Door

Azure Web Application Firewall (WAF) på Azure-frontend tillhandahåller centraliserat skydd för dina webb program.Azure Web Application Firewall (WAF) on Azure Front Door provides centralized protection for your web applications. WAF skyddar dina webb tjänster mot vanliga sårbarheter och sårbarheter.WAF defends your web services against common exploits and vulnerabilities. Tjänsten håller din tjänst hög tillgänglig för dina användare och hjälper dig att uppfylla kraven för efterlevnad.It keeps your service highly available for your users and helps you meet compliance requirements.

WAF på front dörren är en global och centraliserad lösning.WAF on Front Door is a global and centralized solution. Den distribueras på Azures nätverks gräns platser runtom i världen.It's deployed on Azure network edge locations around the globe. WAF-aktiverade webb program inspekterar varje inkommande begäran som levererats av front dörren vid nätverks kanten.WAF enabled web applications inspect every incoming request delivered by Front Door at the network edge.

WAF förhindrar skadliga attacker nära angrepps källorna innan de anger ditt virtuella nätverk.WAF prevents malicious attacks close to the attack sources, before they enter your virtual network. Du får globalt skydd i skala utan att offra prestanda.You get global protection at scale without sacrificing performance. En WAF-princip länkar enkelt till en profil för klient del dörren i din prenumeration.A WAF policy easily links to any Front Door profile in your subscription. Nya regler kan distribueras inom några minuter, så du kan snabbt svara på att ändra hot mönster.New rules can be deployed within minutes, so you can respond quickly to changing threat patterns.

Azure-brandvägg för webbaserade program

WAF princip och reglerWAF policy and rules

Du kan konfigurera en WAF-princip och associera principen till en eller flera front dörrs frontend-sidor för skydd.You can configure a WAF policy and associate that policy to one or more Front Door front-ends for protection. En WAF-princip består av två typer av säkerhets regler:A WAF policy consists of two types of security rules:

  • anpassade regler som har skapats av kunden.custom rules that are authored by the customer.

  • hanterade regel uppsättningar som är en samling med Azure-hanterad förkonfigurerad uppsättning regler.managed rule sets that are a collection of Azure-managed pre-configured set of rules.

När båda finns bearbetas anpassade regler innan reglerna bearbetas i en hanterad regel uppsättning.When both are present, custom rules are processed before processing the rules in a managed rule set. En regel består av ett matchnings villkor, en prioritet och en åtgärd.A rule is made of a match condition, a priority, and an action. De åtgärds typer som stöds är: Tillåt, blockera, logga och OMDIRIGERA.Action types supported are: ALLOW, BLOCK, LOG, and REDIRECT. Du kan skapa en helt anpassad princip som uppfyller dina specifika krav för program skydd genom att kombinera de hanterade och anpassade reglerna.You can create a fully customized policy that meets your specific application protection requirements by combining managed and custom rules.

Regler i en princip bearbetas i en prioritetsordning.Rules within a policy are processed in a priority order. Prioritet är ett unikt heltal som definierar ordningen på regler som ska bearbetas.Priority is a unique integer that defines the order of rules to process. Mindre heltal anger en högre prioritet och dessa regler utvärderas innan regler med ett högre heltals värde.Smaller integer value denotes a higher priority and those rules are evaluated before rules with a higher integer value. När en regel har matchats tillämpas motsvarande åtgärd som definierats i regeln för begäran.Once a rule is matched, the corresponding action that was defined in the rule is applied to the request. När en sådan matchning bearbetas bearbetas inte regler med lägre prioritet ytterligare.Once such a match is processed, rules with lower priorities aren't processed further.

Ett webb program som levereras av front dörren kan bara ha en WAF-princip kopplad till sig i taget.A web application delivered by Front Door can have only one WAF policy associated with it at a time. Du kan dock ha en konfiguration för en front dörr utan några WAF-principer.However, you can have a Front Door configuration without any WAF policies associated with it. Om det finns en WAF-princip replikeras den till alla våra gräns platser för att säkerställa konsekventa säkerhets principer över hela världen.If a WAF policy is present, it's replicated to all of our edge locations to ensure consistent security policies across the world.

WAF-lägenWAF modes

WAF-principen kan konfigureras att köras i följande två lägen:WAF policy can be configured to run in the following two modes:

  • Identifierings läge: Vid körning i identifierings läge tar WAF inte med andra åtgärder än övervakare och loggar begäran och dess matchade WAF-regel till WAF-loggar.Detection mode: When run in detection mode, WAF doesn't take any other actions other than monitors and logs the request and its matched WAF rule to WAF logs. Du kan aktivera loggning av diagnostik för front dörren.You can turn on logging diagnostics for Front Door. När du använder portalen går du till avsnittet diagnostik .When you use the portal, go to the Diagnostics section.

  • Skydds läge: I förebyggande läge tar WAF den angivna åtgärden om en begäran matchar en regel.Prevention mode: In prevention mode, WAF takes the specified action if a request matches a rule. Om en matchning hittas utvärderas inga ytterligare regler med lägre prioritet.If a match is found, no further rules with lower priority are evaluated. Alla matchade begär Anden loggas också i WAF-loggarna.Any matched requests are also logged in the WAF logs.

WAF-åtgärderWAF actions

WAF-kunder kan välja att köra från en av åtgärderna när en begäran matchar en regels villkor:WAF customers can choose to run from one of the actions when a request matches a rule’s conditions:

  • Tillåt: Begäran passerar genom WAF och vidarebefordras till Server delen.Allow: Request passes through the WAF and is forwarded to back-end. Inga ytterligare regler för lägre prioritet kan blockera den här begäran.No further lower priority rules can block this request.
  • Blockera: Begäran blockeras och WAF skickar ett svar till klienten utan att vidarebefordra begäran till Server delen.Block: The request is blocked and WAF sends a response to the client without forwarding the request to the back-end.
  • Logg: Begäran loggas i WAF-loggarna och WAF fortsätter att utvärdera lägre prioritets regler.Log: Request is logged in the WAF logs and WAF continues evaluating lower priority rules.
  • Omdirigera: WAF omdirigerar begäran till angiven URI.Redirect: WAF redirects the request to the specified URI. Den angivna URI: n är en princip nivå inställning.The URI specified is a policy level setting. När den har kon figurer ATS skickas alla förfrågningar som matchar omdirigeringen till denna URI.Once configured, all requests that match the Redirect action will be sent to that URI.

WAF-reglerWAF rules

En WAF-princip kan bestå av två typer av säkerhets regler – anpassade regler, som har skapats av kunden och hanterade rulesets, Azure-hanterad uppsättning regler.A WAF policy can consist of two types of security rules - custom rules, authored by the customer and managed rulesets, Azure-managed pre-configured set of rules.

Anpassade skapade reglerCustom authored rules

Du kan konfigurera anpassade regler WAF på följande sätt:You can configure custom rules WAF as follows:

  • Lista över tillåtna IP-listor och blockerade listor: Du kan styra åtkomsten till dina webb program baserat på en lista över klient-IP-adresser eller IP-adressintervall.IP allow list and block list: You can control access to your web applications based on a list of client IP addresses or IP address ranges. Både IPv4-och IPv6-adress typer stöds.Both IPv4 and IPv6 address types are supported. Den här listan kan konfigureras för att antingen blockera eller tillåta de förfrågningar där käll-IP: en motsvarar en IP-adress i listan.This list can be configured to either block or allow those requests where the source IP matches an IP in the list.

  • Geografisk baserad åtkomst kontroll: Du kan styra åtkomsten till dina webb program baserat på den landskod som är associerad med klientens IP-adress.Geographic based access control: You can control access to your web applications based on the country code that's associated with a client’s IP address.

  • Http-parameter-baserad åtkomst kontroll: Du kan basera regler på sträng matchningar i parametrarna för HTTP/HTTPS-begäran.HTTP parameters-based access control: You can base rules on string matches in HTTP/HTTPS request parameters. Till exempel frågesträngar, POST-argument, begär ande-URI, begär ande rubrik och brödtext för begäran.For example, query strings, POST args, Request URI, Request Header, and Request Body.

  • Begär metod baserad åtkomst kontroll: Du baserade regler för HTTP-begäran i begäran.Request method-based access control: You based rules on the HTTP request method of the request. Till exempel GET, tag eller HEAD.For example, GET, PUT, or HEAD.

  • Storleks begränsning: Du kan basera regler på längden på vissa delar av en begäran, till exempel frågesträng, URI eller brödtext i begäran.Size constraint: You can base rules on the lengths of specific parts of a request such as query string, Uri, or request body.

  • Hastighets begränsnings regler: En hastighets kontroll regel är att begränsa onormal hög trafik från alla klient-IP-adresser.Rate limiting rules: A rate control rule is to limit abnormal high traffic from any client IP. Du kan konfigurera ett tröskelvärde för antalet webb förfrågningar som tillåts från en klient-IP under en minuts varaktighet.You may configure a threshold on the number of web requests allowed from a client IP during a one-minute duration. Den här regeln är distinkt från en lista över tillåtna/blockerade IP-adresser som antingen tillåter alla eller blockerar all begäran från en klient-IP.This rule is distinct from an IP list-based allow/block custom rule that either allows all or blocks all request from a client IP. Hastighets begränsningar kan kombineras med ytterligare matchnings villkor, t. ex. HTTP (S)-parameter matchningar för detaljerad hastighets kontroll.Rate limits can be combined with additional match conditions such as HTTP(S) parameter matches for granular rate control.

Azure-hanterade regel uppsättningarAzure-managed rule sets

Azure-hanterade regel uppsättningar ger ett enkelt sätt att distribuera skydd mot en gemensam uppsättning säkerhetshot.Azure-managed rule sets provide an easy way to deploy protection against a common set of security threats. Eftersom sådana rulesets hanteras av Azure uppdateras reglerna vid behov för att skydda mot nya attack-signaturer.Since such rulesets are managed by Azure, the rules are updated as needed to protect against new attack signatures. Azure-hanterad standard regel uppsättning innehåller regler mot följande hot kategorier:Azure-managed Default Rule Set includes rules against the following threat categories:

  • Skriptkörning över flera webbplatserCross-site scripting
  • Java-attackerJava attacks
  • Lokal fil inkluderingLocal file inclusion
  • Angrepp för PHP-injekteringPHP injection attacks
  • Fjärrkörning av kommandoRemote command execution
  • Införande av fjärrfilRemote file inclusion
  • Sessions-bindningSession fixation
  • Skydd mot SQL-inmatningSQL injection protection
  • Protokoll angripareProtocol attackers

Versions numret för standard regel uppsättningen ökar när nya angrepps signaturer läggs till i regel uppsättningen.The version number of the Default Rule Set increments when new attack signatures are added to the rule set. Standard regel uppsättningen är aktive rad som standard i identifierings läge i dina WAF-principer.Default Rule Set is enabled by default in Detection mode in your WAF policies. Du kan inaktivera eller aktivera enskilda regler inom standard regel uppsättningen för att uppfylla dina program krav.You can disable or enable individual rules within the Default Rule Set to meet your application requirements. Du kan också ange specifika åtgärder (Tillåt/blockera/OMDIRIGERA/logga) per regel.You can also set specific actions (ALLOW/BLOCK/REDIRECT/LOG) per rule.

Ibland kan du behöva utelämna vissa begär ande attribut från en WAF-utvärdering.Sometimes you may need to omit certain request attributes from a WAF evaluation. Ett vanligt exempel är Active Directory-infogade tokens som används för autentisering.A common example is Active Directory-inserted tokens that are used for authentication. Du kan konfigurera en undantags lista för en hanterad regel, regel grupp eller för hela regel uppsättningen.You may configure an exclusion list for a managed rule, rule group, or for the entire rule set.

Standard åtgärden är att blockera.The Default action is to BLOCK. Dessutom kan anpassade regler konfigureras i samma WAF-princip om du vill kringgå någon av de förkonfigurerade reglerna i standard regel uppsättningen.Additionally, custom rules can be configured in the same WAF policy if you wish to bypass any of the pre-configured rules in the Default Rule Set.

Anpassade regler tillämpas alltid innan regler i standard regel uppsättningen utvärderas.Custom rules are always applied before rules in the Default Rule Set are evaluated. Om en begäran matchar en anpassad regel tillämpas motsvarande regel åtgärd.If a request matches a custom rule, the corresponding rule action is applied. Begäran är antingen blockerad eller passerad till Server delen.The request is either blocked or passed through to the back-end. Inga andra anpassade regler eller reglerna i standard regel uppsättningen bearbetas.No other custom rules or the rules in the Default Rule Set are processed. Du kan också ta bort standard regel uppsättningen från dina WAF-principer.You can also remove the Default Rule Set from your WAF policies.

Regel uppsättning för bot skydd (för hands version)Bot protection rule set (preview)

Du kan aktivera en skydds regel för hanterad bot för att vidta anpassade åtgärder för förfrågningar från kända robot kategorier.You can enable a managed bot protection rule set to take custom actions on requests from known bot categories.

Det finns tre robot kategorier som stöds: dåligt, bra och okänd.There are three bot categories supported: Bad, Good, and Unknown. Robot-signaturer hanteras och uppdateras dynamiskt av WAF-plattformen.Bot signatures are managed and dynamically updated by the WAF platform.

Felaktiga robotar omfattar robotar från skadliga IP-adresser och robotar som har förfalskat sina identiteter.Bad bots include bots from malicious IP addresses and bots that have falsified their identities. Skadliga IP-adresser skickas från Microsoft Threat Intelligence-flödet och uppdateras varje timme.Malicious IP addresses are sourced from the Microsoft Threat Intelligence feed and updated every hour. Intelligent Security graphs befogenheter Microsoft Threat intelligence och används av flera tjänster, inklusive Azure Security Center.Intelligent Security Graph powers Microsoft Threat Intelligence and is used by multiple services including Azure Security Center.

Robotar är godkända sökmotorer.Good Bots include validated search engines. Okända kategorier innehåller ytterligare bot-grupper som har identifierats som robotar.Unknown categories include additional bot groups that have identified themselves as bots. Till exempel marknads analys, flödes hämtning och data insamlings agenter.For example, market analyzer, feed fetchers and data collection agents.

Okända robotar klassificeras via publicerade användar agenter utan ytterligare verifiering.Unknown bots are classified via published user agents without additional validation. Du kan ange anpassade åtgärder för att blockera, tillåta, logga eller omdirigera för olika typer av robotar.You can set custom actions to block, allow, log, or redirect for different types of bots.

Regel uppsättning för bot-skydd

Viktigt

Regel uppsättningen för bot-skydd är för närvarande en offentlig för hands version och tillhandahålls med ett service nivå avtal för för hands versionen.The Bot protection rule set is currently in public preview and is provided with a preview service level agreement. Vissa funktioner kanske inte stöds eller kan ha begränsad funktionalitet.Certain features may not be supported or may have constrained capabilities. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.See the Supplemental Terms of Use for Microsoft Azure Previews for details.

Om bot-skydd är aktiverat loggas inkommande begär Anden som matchar bot-regler i FrontdoorWebApplicationFirewallLog-loggen.If bot protection is enabled, incoming requests that match bot rules are logged at the FrontdoorWebApplicationFirewallLog log. Du får åtkomst till WAF-loggar från ett lagrings konto, Event Hub eller Log Analytics.You may access WAF logs from a storage account, event hub, or log analytics.

KonfigurationConfiguration

Du kan konfigurera och distribuera alla typer av WAF med hjälp av Azure Portal, REST-API: er, Azure Resource Manager mallar och Azure PowerShell.You can configure and deploy all WAF rule types using the Azure portal, REST APIs, Azure Resource Manager templates, and Azure PowerShell.

ÖvervakningMonitoring

Övervakning av WAF i front dörren är integrerat med Azure Monitor för att spåra aviseringar och enkelt övervaka trafik trender.Monitoring for WAF at Front Door is integrated with Azure Monitor to track alerts and easily monitor traffic trends.

Nästa stegNext steps