Vad är Azure Web Application Firewall på Azure Application Gateway?

  • Artikel
  • 8 minuter för att läsa

Azure Web Application Firewall (WAF) på Azure Application Gateway ett centraliserat skydd för dina webbprogram mot vanliga kryphål och sårbarheter. Webbprogram riktas i allt större utsträckning mot skadliga attacker som utnyttjar kända sårbarheter. SQL och skript över flera webbplatser är bland de vanligaste attackerna.

WAF på Application Gateway baseras på Core Rule Set (CRS) 3.1, 3.0 eller 2.2.9 från Open Web Application Security Project (OWASP).

Alla WAF-funktioner som anges nedan finns i en WAF-princip. Du kan skapa flera principer och de kan associeras med en Application Gateway, enskilda lyssnare eller till sökvägsbaserade routningsregler på en Application Gateway. På så sätt kan du ha separata principer för varje webbplats bakom din Application Gateway om det behövs. Mer information om WAF-principer finns i Skapa en WAF-princip.

Application Gateway WAF-diagram

Application Gateway fungerar som en ADC (Application Delivery Controller). Den erbjuder Transport Layer Security (TLS), tidigare kallat Secure Sockets Layer (SSL), avslutning, cookiebaserad sessionstillhörighet, resursallokeringsbelastningsdistribution, innehållsbaserad routning, möjlighet att vara värd för flera webbplatser och säkerhetsförbättringar.

Application Gateway säkerhetsförbättringar inkluderar TLS-principhantering och TLS-stöd från hela tiden. Programsäkerheten förstärks av WAF-integrering i Application Gateway. Kombinationen skyddar dina webbprogram mot vanliga sårbarheter. Och det ger en lättkonfigurerad central plats att hantera.

Fördelar

I det här avsnittet beskrivs de viktigaste fördelarna med WAF på Application Gateway tillhandahåller.

Skydd

  • Skydda dina webbprogram mot webbsårbarheter och attacker utan ändringar i backend-koden.

  • Skydda flera webbprogram på samma gång. En instans av Application Gateway kan vara värd för upp till 40 webbplatser som skyddas av en brandvägg för webbaserade program.

  • Skapa anpassade WAF-principer för olika webbplatser bakom samma WAF

  • Skydda dina webbprogram från skadliga robotar med IP Reputation-regeluppsättningen

Övervakning

  • Övervaka attacker mot dina webbprogram med hjälp av en WAF-logg i realtid. Loggen är integrerad med Azure Monitor för att spåra WAF-aviseringar och enkelt övervaka trender.

  • Den Application Gateway WAF är integrerad med Microsoft Defender för molnet. Defender for Cloud ger en central vy över säkerhetstillståndet för alla dina Azure-, hybrid- och multimolnresurser.

Anpassning

  • Anpassa WAF-regler och regelgrupper så att de passar dina programkrav och eliminera falska positiva resultat.

  • Associera en WAF-princip för varje plats bakom waf för att tillåta platsspecifik konfiguration

  • Skapa anpassade regler som passar behoven i ditt program

Funktioner

  • SQL-ktionsskydd.
  • Skriptskydd mellan webbplatser.
  • Skydd mot andra vanliga webbattacker, till exempel kommandoinjektion, HTTP-begärandeattack, delning av HTTP-svar och fjärrfilinkludering.
  • Skydd mot http-protokollöverträdelser.
  • Skydd mot HTTP-protokollavvikelser, till exempel att användaragenten för värden saknas och accept-huvuden.
  • Skydd mot crawlers och skannrar.
  • Identifiering av vanliga programfelkonfigurationer (till exempel Apache och IIS).
  • Konfigurerbara storleksgränser för förfrågningar med lägre och övre gränser.
  • Med undantagslistor kan du utelämna vissa begärandeattribut från en WAF-utvärdering. Ett vanligt exempel är Active Directory-infogade tokens som används för autentiserings- eller lösenordsfält.
  • Skapa anpassade regler som passar de specifika behoven i dina program.
  • Geofiltreringstrafik för att tillåta eller blockera vissa länder/regioner från att få åtkomst till dina program.
  • Skydda dina program från robotar med regeluppsättningen för robotminskning.
  • Granska JSON och XML i begärandetexten

WAF-princip och regler

Om du vill aktivera Web Application Firewall på Application Gateway måste du skapa en WAF-princip. Den här principen är den plats där alla hanterade regler, anpassade regler, undantag och andra anpassningar, till exempel filuppladdningsgräns, finns.

Du kan konfigurera en WAF-princip och associera principen med en eller flera programgatewayer för skydd. En WAF-princip består av två typer av säkerhetsregler:

  • Anpassade regler som du skapar

  • Hanterade regeluppsättningar som är en samling azure-hanterade förkonfigurerade regeluppsättningar

När båda finns bearbetas anpassade regler innan de bearbetas i en hanterad regeluppsättning. En regel består av ett matchningsvillkor, en prioritet och en åtgärd. Åtgärdstyper som stöds är: ALLOW, BLOCK och LOG. Du kan skapa en helt anpassad princip som uppfyller dina specifika programskyddskrav genom att kombinera hanterade och anpassade regler.

Regler i en princip bearbetas i en prioritetsordning. Prioritet är ett unikt heltal som definierar ordningen på de regler som ska bearbetas. Mindre heltalsvärde anger en högre prioritet och dessa regler utvärderas före regler med ett högre heltalsvärde. När en regel matchas tillämpas motsvarande åtgärd som definierades i regeln på begäran. När en sådan matchning har bearbetats bearbetas inte regler med lägre prioritet ytterligare.

Ett webbprogram som levereras av Application Gateway kan ha en WAF-princip kopplad till den på global nivå, på nivån per webbplats eller på en per-URI-nivå.

Core Rule Sets

Application Gateway tre regeluppsättningar: CRS 3.1, CRS 3.0 och CRS 2.2.9. De här reglerna skyddar dina webbprogram mot skadlig aktivitet.

Mer information finns i CRS-regelgrupper och -regler för brandväggen för webbaserade program.

Anpassade regler

Application Gateway har även stöd för anpassade regler. Med anpassade regler kan du skapa egna regler som utvärderas för varje begäran som passerar genom WAF. Dessa regler har högre prioritet än resten av reglerna i de hanterade regeluppsättningarna. Om en uppsättning villkor uppfylls vidtas en åtgärd för att tillåta eller blockera.

Geomatch-operatorn är nu tillgänglig för anpassade regler. Mer information finns i geomatcha anpassade regler.

Mer information om anpassade regler finns i Anpassade regler för Application Gateway.

Robotminskning

En hanterad botskyddsregeluppsättning kan aktiveras för att din WAF ska blockera eller logga begäranden från kända skadliga IP-adresser, tillsammans med den hanterade regeluppsättningen. IP-adresserna hämtas från Microsoft Threat Intelligence-flödet. Intelligent Security Graph används av Microsofts hotinformation och används av flera tjänster, inklusive Microsoft Defender för molnet.

Om Bot Protection är aktiverat, loggas inkommande begäranden som matchar den skadliga robotens klient-IP-adresser i brandväggsloggen. Mer information finns nedan. Du kan komma åt WAF-loggar från lagringskonto, händelsehubb eller logganalys.

WAF-lägen

Den Application Gateway WAF kan konfigureras för att köras i följande två lägen:

  • Identifieringsläge: Övervakar och loggar alla hotaviseringar. Du aktiverar loggningsdiagnostik för Application Gateway i avsnittet Diagnostik. Du måste också se till att WAF-loggen är markerad och aktiverad. Brandväggen för webbaserade program blockerar inte inkommande begäranden när den fungerar i identifieringsläge.
  • Skyddsläge: Blockerar intrång och attacker som identifieras av reglerna. Angriparen får undantaget "403 obehörig åtkomst" och anslutningen stängs. Skyddsläge registrerar sådana attacker i WAF-loggarna.

Anteckning

Vi rekommenderar att du kör en nyligen distribuerad WAF i identifieringsläge under en kort tidsperiod i en produktionsmiljö. Detta ger möjlighet att hämta brandväggsloggar och uppdatera eventuella undantag eller anpassade regler före övergången till skyddsläge. Detta kan minska förekomsten av oväntad blockerad trafik.

Läget för avvikelsebedömning

OWASP har två lägen för att bestämma om trafik ska blockeras: Traditionellt läge och avvikelsebedömningsläge.

I traditionellt läge anses trafik som matchar en regel oberoende av andra regelmatchningar. Det här läget är enkelt att förstå. Men bristen på information om hur många regler som matchar en specifik begäran är en begränsning. Därför introducerades läget för avvikelsebedömning. Det är standardinställningen för OWASP 3. x.

I läget för avvikelsebedömning blockeras inte trafik som matchar någon regel omedelbart när brandväggen är i skyddsläge. Regler har en viss allvarlighetsgrad: Kritisk, Fel, Varning eller Observera. Den allvarlighetsgraden påverkar ett numeriskt värde för begäran, som kallas avvikelsepoäng. Till exempel bidrar en varningsregelmatchning med 3 till poängen. En kritisk regelmatchning bidrar med 5.

Allvarlighetsgrad Värde
Kritiskt 5
Fel 4
Varning 3
anslagstavlan, 2

Det finns ett tröskelvärde på 5 för att avvikelsepoängen ska blockera trafik. Därför räcker det med en enda kritisk regelmatchning för att Application Gateway WAF ska blockera en begäran, även i skyddsläge. Men en varningsregelmatchning ökar bara avvikelsepoängen med 3, vilket inte är tillräckligt för att blockera trafiken.

Anteckning

Meddelandet som loggas när en WAF-regel matchar trafiken innehåller åtgärdsvärdet "Blockerad". Men trafiken blockeras i själva verket bara för en avvikelsepoäng på 5 eller högre. Mer information finns i Felsöka Web Application Firewall (WAF) för Azure Application Gateway.

WAF-övervakning

Det är viktigt att övervaka hälsotillståndet för Application Gateway. Övervakning av hälsotillståndet för din WAF och de program som den skyddar stöds av integrering med Microsoft Defender för moln-, Azure Monitor- och Azure Monitor loggar.

Diagram över Application Gateway WAF-diagnostik

Azure Monitor

Application Gateway är integrerade med Azure Monitor. På så sätt kan du spåra diagnostikinformation, inklusive WAF-aviseringar och loggar. Du kan komma åt den här funktionen fliken Diagnostik i Application Gateway i portalen eller direkt via Azure Monitor. Mer information om hur du aktiverar loggar finns i Application Gateway diagnostik.

Microsoft Defender för molnet

Defender for Cloud hjälper dig att förhindra, identifiera och svara på hot. Det ger bättre insyn i och kontroll över säkerheten för dina Azure-resurser. Application Gateway är integrerad med Defender for Cloud. Defender for Cloud genomsöker din miljö för att identifiera oskyddade webbprogram. Den kan rekommendera Application Gateway WAF för att skydda dessa sårbara resurser. Du skapar brandväggarna direkt från Defender for Cloud. Dessa WAF-instanser är integrerade med Defender for Cloud. De skickar aviseringar och hälsoinformation till Defender for Cloud för rapportering.

Översiktsfönstret för Defender for Cloud

Microsoft Sentinel

Microsoft Sentinel är en skalbar, molnbaserad händelsehanteringslösning för säkerhetsinformation (SIEM) och soar-lösning (Security Orchestration Automated Response). Microsoft Sentinel levererar intelligent säkerhetsanalys och hotinformation i hela företaget, vilket ger en enda lösning för aviseringsidentifiering, hotsynlighet, proaktiv jakt och hotsvar.

Med den inbyggda arbetsboken för Azure WAF-brandväggshändelser kan du få en översikt över säkerhetshändelserna i brandväggen för waf. Detta inkluderar händelser, matchade och blockerade regler och allt annat som loggas i brandväggsloggarna. Mer information om loggning finns nedan.

Arbetsbok för Azure WAF-brandväggshändelser

Azure Monitor arbetsbok för WAF

Den här arbetsboken möjliggör anpassad visualisering av säkerhetsrelevabla WAF-händelser i flera filtrerbara paneler. Det fungerar med alla WAF-typer, inklusive Application Gateway, Front Door och CDN, och kan filtreras baserat på WAF-typ eller en specifik WAF-instans. Importera via ARM-mall eller gallerimall. Information om hur du distribuerar den här arbetsboken finns i WAF-arbetsbok.

Loggning

Application Gateway WAF innehåller detaljerad rapportering om varje hot som identifieras. Loggning är integrerat med Azure Diagnostics loggar. Aviseringar registreras i .json-format. Dessa loggar kan integreras med Azure Monitor loggar.

Application Gateway för diagnostikloggar

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "52.161.109.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
}

Priser för WAF SKU för programgatewayen

Prismodellerna är olika för SKU WAF_v1 och WAF_v2 SKU:er. Mer information finns Application Gateway prissidan.

Nyheter

Information om vad som är nytt med Azure Web Application Firewall finns i Azure-uppdateringar.

Nästa steg