Vanliga frågor och svar om Azure Web Application Firewall på Azure Front Door Service

Den här artikeln ger svar på vanliga Azure Web Application Firewall (WAF) om Azure Front Door Service funktioner.

Vad är Azure WAF?

Azure WAF är en brandvägg för webbaserade program som hjälper till att skydda dina webbprogram mot vanliga hot, till exempel SQL- injection, skript över flera webbplatser och andra webbkryphål. Du kan definiera en WAF-princip som består av en kombination av anpassade och hanterade regler för att styra åtkomsten till dina webbprogram.

En Azure WAF-princip kan tillämpas på webbprogram som finns på Application Gateway eller Azure Front Doors.

Vad är WAF på Azure Front Door?

Azure Front Door är ett mycket skalbart, globalt distribuerat program och nätverk för innehållsleverans. När Azure WAF är integrerat med Front Door stoppar denial-of-service och riktade programattacker på Azure-nätverkskanten, nära angreppskällor innan de kommer in i ditt virtuella nätverk, ger det skydd utan att kompromissa med prestanda.

Stöder Azure WAF HTTPS?

Front Door erbjuder TLS-avlastning. WAF är inbyggt i Front Door och kan inspektera en begäran när den har dekrypterats.

Stöder Azure WAF IPv6?

Ja. Du kan konfigurera IP-begränsning för IPv4 och IPv6.

Hur aktuella är de hanterade regeluppsättningarna?

Vi gör vårt bästa för att hålla koll på föränderliga hotlandskap. När en ny regel har uppdaterats läggs den till i standardregeluppsättningen med ett nytt versionsnummer.

Vad är spridningstiden om jag gör en ändring i waf-principen?

De flesta WAF-principdistributioner slutförs under 20 minuter. Du kan förvänta dig att principen ska gälla så snart uppdateringen har slutförts på alla gränsplatser globalt.

Kan WAF-principer vara olika för olika regioner?

När WAF Front Door integrerad med en global resurs. Samma konfiguration gäller för alla Front Door platser.

Hur gör jag för att du begränsa åtkomsten till min backend till att endast Front Door åtkomst?

Du kan konfigurera IP-Access Control i din backend för att endast tillåta Front Door utgående IP-adressintervall och neka direkt åtkomst från Internet. Tjänsttaggar stöds så att du kan använda dem i ditt virtuella nätverk. Dessutom kan du kontrollera att HTTP-huvudfältet X-Forwarded-Host är giltigt för webbappen.

Vilka waf-alternativ i Azure ska jag välja?

Det finns två alternativ när du använder WAF-principer i Azure. WAF med Azure Front Door är en globalt distribuerad gränssäkerhetslösning. WAF med Application Gateway är en regional, dedikerad lösning. Vi rekommenderar att du väljer en lösning baserat på dina övergripande prestanda- och säkerhetskrav. Mer information finns i Belastningsutjämning med Azures programsvit för programleverans.

Vilken är den rekommenderade metoden för att aktivera WAF på Front Door?

När du aktiverar WAF på ett befintligt program är det vanligt att ha falska positiva identifieringar där WAF-reglerna identifierar legitim trafik som ett hot. För att minimera risken för att användarna påverkas rekommenderar vi följande process:

  • Aktivera WAF i identifieringsläge för att säkerställa att WAF inte blockerar begäranden medan du arbetar med den här processen.

    Viktigt

    Den här processen beskriver hur du aktiverar WAF på en ny eller befintlig lösning när din prioritet är att minimera störningarna för programmets användare. Om du är under angrepp eller ett hot som kan uppstå som ett hot kan du i stället distribuera WAF i skyddsläge direkt och använda justeringsprocessen för att övervaka och justera WAF över tid. Detta gör förmodligen att en del av din legitima trafik blockeras, vilket är anledningen till att vi bara rekommenderar att du gör detta när du är under hot.

  • Följ vår vägledning för att justera WAF. Den här processen kräver att du aktiverar diagnostisk loggning, granskar loggarna regelbundet och lägger till regel uteslutningar och andra åtgärder.
  • Upprepa hela processen och kontrollera loggarna regelbundet tills du är nöjd med att ingen legitim trafik blockeras. Hela processen kan ta flera veckor. Vi rekommenderar att du ser färre falska positiva identifieringar efter varje justeringsändring som du gör.
  • Slutligen aktiverar du WAF i skyddsläge.
  • Även när du kör WAF i produktion bör du fortsätta att övervaka loggarna för att identifiera andra falska positiva identifieringar. Genom att regelbundet granska loggarna kan du också identifiera eventuella verkliga attackförsök som har blockerats.

Har du stöd för samma WAF-funktioner på alla integrerade plattformar?

ModSec CRS 2.2.9-, CRS 3.0- och CRS 3.1-regler stöds för närvarande endast med WAF på Application Gateway. Regler för frekvensbegränsning, geofiltrering och Azure-hanterad standardregeluppsättning stöds endast med WAF på Azure Front Door.

Är DDoS-skydd integrerat med Front Door?

Globalt distribuerad vid Azure-nätverkskanter kan Azure Front Door absorbera och geografiskt isolera stora volymattacker. Du kan skapa en anpassad WAF-princip för att automatiskt blockera och hastighetsbegränsa HTTP-attacker som har kända signaturer. Du kan också aktivera DDoS Protection Standard på det virtuella nätverk där dina backend-datorer distribueras. Azure DDoS Protection Standard-kunder får ytterligare förmåner, inklusive kostnadsskydd, SLA-garanti och åtkomst till experter från DDoS Rapid Response Team för omedelbar hjälp under en attack. Mer information finns i DDoS-skydd på Front Door.

Varför skickas ytterligare begäranden över tröskelvärdet som konfigurerats för min frekvensbegränsningsregel till min serverserver?

En frekvensbegränsningsregel kan begränsa onormalt hög trafik från alla klienters IP-adresser. Du kan konfigurera ett tröskelvärde för antalet webbegäranden som tillåts från en klient-IP-adress under en minut eller fem minuter. För detaljerad hastighetskontroll kan hastighetsbegränsning kombineras med ytterligare matchningsvillkor, till exempel matchning av HTTP(S)-parameter.

Begäranden från samma klient tas ofta emot på samma Front Door server. I så fall ser du att ytterligare begäranden över tröskelvärdet blockeras omedelbart.

Det är dock möjligt att begäranden från samma klient kommer till en annan Front Door-server som inte har uppdaterat frekvensbegränsningsräknaren ännu. Klienten kan till exempel öppna en ny anslutning för varje begäran och tröskelvärdet är lågt. I det här fallet skulle den första begäran till den Front Door servern klara hastighetsbegränsningskontrollen. Ett tröskelvärde för hastighetsbegränsning anges vanligtvis högt för att skydda mot doS-attacker från alla klienters IP-adresser. För ett mycket lågt tröskelvärde kan ytterligare begäranden över tröskelvärdet passera.

Vilka innehållstyper stöder WAF?

Front Door WAF stöder följande innehållstyper:

  • DRS 2.0

    Hanterade regler

    • application/json
    • application/xml
    • application/x-www-form-urlencoded
    • multipart/form-data

    Anpassade regler

    • application/x-www-form-urlencoded

  • DRS 1.x

    Hanterade regler

    • application/x-www-form-urlencoded
    • text/oformaterad

    Anpassade regler

    • application/x-www-form-urlencoded

Nästa steg