Azure Web Application Firewall på Azure Front Door

  • Artikel
  • 5 minuter för att läsa

Azure Web Application Firewall (WAF) Azure Front Door ger ett centraliserat skydd för dina webbprogram. Brandväggen för webbaserade program (WAF) skyddar dina webbtjänster mot vanliga kryphål och sårbarheter. Tjänsten har hög tillgång till användarna och hjälper dig att uppfylla efterlevnadskraven.

WAF på Front Door är en global och centraliserad lösning. Den distribueras på Gränsplatser i Azure-nätverk över hela världen. WAF-aktiverade webbprogram inspekterar varje inkommande begäran som Front Door skickas av vid nätverkskanten.

WAF förhindrar skadliga attacker nära attackkällorna innan de kommer in i det virtuella nätverket. Du får globalt skydd i stor skala utan att offra prestanda. En WAF-princip länkar enkelt till valfri Front Door i din prenumeration. Nya regler kan distribueras inom några minuter, så att du snabbt kan reagera på föränderliga hotmönster.

Azure-brandvägg för webbaserade program

Azure Front Door två nya SKU:er i förhandsversion:Front Door Standard och Front Door Premium SKU. WAF är inbyggt i Front Door Premium SKU med fullständiga funktioner. För Front Door standard-SKU stöds endast anpassade regler.

WAF-princip och regler

Du kan konfigurera en WAF-princip och koppla principen till en eller Front Door för skydd. En WAF-princip består av två typer av säkerhetsregler:

  • anpassade regler som har redigerats av kunden.

  • hanterade regeluppsättningar som är en samling azure-hanterade förkonfigurerade regeluppsättningar.

När båda finns bearbetas anpassade regler innan reglerna bearbetas i en hanterad regeluppsättning. En regel består av ett matchningsvillkor, en prioritet och en åtgärd. Åtgärdstyper som stöds är: ALLOW, BLOCK, LOG och REDIRECT. Du kan skapa en helt anpassad princip som uppfyller dina specifika programskyddskrav genom att kombinera hanterade och anpassade regler.

Regler i en princip bearbetas i en prioritetsordning. Prioritet är ett unikt heltal som definierar ordningen på de regler som ska bearbetas. Mindre heltalsvärde anger en högre prioritet och dessa regler utvärderas före regler med ett högre heltalsvärde. När en regel matchas tillämpas motsvarande åtgärd som definierades i regeln på begäran. När en sådan matchning har bearbetats bearbetas inte regler med lägre prioritet ytterligare.

Ett webbprogram som levereras av Front Door kan bara ha en waf-princip kopplad till sig i taget. Du kan dock ha en konfiguration Front Door waf-principer som är associerade med den. Om det finns en WAF-princip replikeras den till alla våra gränsplatser för att säkerställa konsekventa säkerhetsprinciper över hela världen.

WAF-lägen

WAF-principen kan konfigureras för att köras i följande två lägen:

  • Identifieringsläge: När WAF körs i identifieringsläge, vidta inga andra åtgärder än övervakar och loggar begäran och dess matchade WAF-regel till WAF-loggar. Du kan aktivera loggningsdiagnostik för Front Door. När du använder portalen går du till avsnittet Diagnostik.

  • Skyddsläge: I skyddsläge vidtar WAF den angivna åtgärden om en begäran matchar en regel. Om en matchning hittas utvärderas inga ytterligare regler med lägre prioritet. Alla matchade begäranden loggas också i WAF-loggarna.

WAF-åtgärder

WAF-kunder kan välja att köra från en av åtgärderna när en begäran matchar villkoren för en regel:

  • Tillåt: Begäran passerar genom WAF och vidarebefordras till backend-delen. Inga ytterligare regler med lägre prioritet kan blockera den här begäran.
  • Blockera: Begäran blockeras och WAF skickar ett svar till klienten utan att vidarebefordra begäran till backend-sidan.
  • Logg: Begäran loggas i WAF-loggarna och WAF fortsätter att utvärdera regler med lägre prioritet.
  • Omdirigering: WAF omdirigerar begäran till den angivna URI:en. Den angivna URI:en är en principnivåinställning. När den har konfigurerats skickas alla begäranden som matchar åtgärden Omdirigera till den URI:en.

WAF-regler

En WAF-princip kan bestå av två typer av säkerhetsregler – anpassade regler, som har redigerats av kunden och hanterade regeluppsättningar, azure-hanterad förkonfigurerad uppsättning regler.

Anpassade redigerade regler

Du kan konfigurera anpassade regler för WAF på följande sätt:

  • Lista över TILLåtna IP-adresser och blockeringslistor: Du kan styra åtkomsten till dina webbprogram baserat på en lista över klientens IP-adresser eller IP-adressintervall. Både IPv4- och IPv6-adresstyper stöds. Den här listan kan konfigureras för att antingen blockera eller tillåta de begäranden där käll-IP-adressen matchar en IP-adress i listan.

  • Geografisk baserad åtkomstkontroll: Du kan styra åtkomsten till dina webbprogram baserat på den landskod som är associerad med en klients IP-adress.

  • HTTP-parameterbaserad åtkomstkontroll: Du kan basera regler på strängmatchning i parametrar för HTTP/HTTPS-begäran. Det kan till exempel vara frågesträngar, POST args, begärande-URI, begärandehuvud och begärandetext.

  • Begär metodbaserad åtkomstkontroll: Du baserar regler på HTTP-förfrågningsmetoden för begäran. Till exempel GET, PUT eller HEAD.

  • Storleksbegränsning: Du kan basera regler på längden på specifika delar av en begäran, till exempel frågesträng, URI eller begärandetext.

  • Regler för frekvensbegränsning: En frekvenskontrollregel begränsar onormalt hög trafik från alla klienters IP-adresser. Du kan konfigurera ett tröskelvärde för antalet webbegäranden som tillåts från en klient-IP-adress under en minut. Den här regeln skiljer sig från en IP-lista baserad anpassad regel för att tillåta/blockera som antingen tillåter alla eller blockerar alla förfrågningar från en klient-IP. Hastighetsbegränsningar kan kombineras med ytterligare matchningsvillkor, till exempel HTTP(S)-parametermatchning för detaljerad hastighetskontroll.

Azure-hanterade regeluppsättningar

Azure-hanterade regeluppsättningar är ett enkelt sätt att distribuera skydd mot en gemensam uppsättning säkerhetshot. Eftersom sådana regeluppsättningar hanteras av Azure uppdateras reglerna efter behov för att skydda mot nya attacksignaturer. Den Azure-hanterade standardregeluppsättningen innehåller regler mot följande hotkategorier:

  • Skriptkörning över flera webbplatser
  • Java-attacker
  • Inkludering av lokala filer
  • PHP-ktionsattacker
  • Fjärrkommandokörning
  • Införande av fjärrfil
  • Sessionskorrigering
  • Skydd mot SQL-inmatning
  • Protokollangripare

Anpassade regler tillämpas alltid innan regler i standardregeluppsättningen utvärderas. Om en begäran matchar en anpassad regel tillämpas motsvarande regelåtgärd. Begäran blockeras eller skickas till backend-delen. Inga andra anpassade regler eller reglerna i standardregeluppsättningen bearbetas. Du kan också ta bort standardregeluppsättningen från waf-principerna.

Mer information finns i Web Application Firewall FÖR DRS-regelgrupper och -regler.

Regeluppsättning för robotskydd (förhandsversion)

Du kan aktivera en hanterad robotskyddsregeluppsättning för att vidta anpassade åtgärder för begäranden från kända robotkategorier.

Det finns tre robotkategorier som stöds: Dålig, Bra och Okänd. Robotsignaturer hanteras och uppdateras dynamiskt av WAF-plattformen.

Dåliga robotar omfattar robotar från skadliga IP-adresser och robotar som har förfalskat sina identiteter. Skadliga IP-adresser kommer från Microsoft Threat Intelligence-flödet och uppdateras varje timme. Intelligent Security Graph används av Microsoft Threat Intelligence och används av flera tjänster, inklusive Microsoft Defender för molnet.

Exempel på bra robotar är validerade sökmotorer. Okända kategorier omfattar ytterligare robotgrupper som har identifierat sig själva som robotar. Det kan till exempel vara marknadsanalyserare, feed fetchers och datainsamlingsagenter.

Okända robotar klassificeras via publicerade användaragenter utan ytterligare verifiering. Du kan ange anpassade åtgärder för att blockera, tillåta, logga eller omdirigera för olika typer av robotar.

Regeluppsättning för robotskydd

Viktigt

Regeluppsättningen för robotskydd är för närvarande i offentlig förhandsversion och tillhandahålls med ett servicenivåavtal för förhandsversionen. Vissa funktioner kanske inte stöds eller kan ha begränsad funktionalitet. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

Om robotskydd är aktiverat loggas inkommande begäranden som matchar robotregler i loggen FrontdoorWebApplicationFirewallLog. Du kan komma åt WAF-loggar från ett lagringskonto, en händelsehubb eller en logganalys.

Konfiguration

Du kan konfigurera och distribuera alla WAF-regeltyper med hjälp av Azure Portal, REST-API:er, Azure Resource Manager-mallar och Azure PowerShell.

Övervakning

Övervakningen av WAF på Front Door är integrerad med Azure Monitor för att spåra aviseringar och enkelt övervaka trafiktrender.

Nästa steg