Program (Layer 7) DDoS-skydd

  • Artikel

Azure WAF har flera försvarsmekanismer som kan bidra till att förhindra DDoS-attacker (Distribuerad överbelastning). DDoS-attackerna kan riktas mot både nätverksskiktet (L3/L4) eller programskiktet (L7). Azure DDoS skyddar kunden mot stora volymattacker på nätverksnivå. Azure WAF som körs på layer 7 skyddar webbprogram mot L7 DDoS-attacker, till exempel HTTP-översvämningar. Dessa skydd kan hindra angripare från att nå ditt program och påverka programmets tillgänglighet och prestanda.

Hur kan du skydda dina tjänster?

Dessa attacker kan minimeras genom att lägga till brandväggen för webbaserade program (WAF) eller placera DDoS framför tjänsten för att filtrera bort felaktiga begäranden. Azure erbjuder WAF som körs på nätverksgränsen med Azure Front Door och i datacenter med Application Gateway. De här stegen är en generaliserad lista och måste justeras för att passa din tjänst för programkrav.

  • Distribuera Azure Web Application Firewall (WAF) med Azure Front Door Premium eller Application Gateway WAF v2 SKU för att skydda mot L7-programnivåattacker.
  • Skala upp antalet ursprungsinstanser så att det finns tillräckligt med outnyttjad kapacitet.
  • Aktivera Azure DDoS Protection på ursprungets offentliga IP-adresser för att skydda dina offentliga IP-adresser mot layer 3(L3) och layer 4(L4) DDoS-attacker. Azures DDoS-erbjudanden kan automatiskt skydda de flesta webbplatser från L3- och L4-volymattacker som skickar ett stort antal paket till en webbplats. Azure erbjuder också skydd på infrastrukturnivå för alla webbplatser som finns i Azure som standard.

Azure WAF med Azure Front Door

Azure WAF har många funktioner som kan användas för att minimera många olika typer av attacker, till exempel HTTP-översvämningar, förbikoppling av cacheminnen, attacker som startas av botnät.

  • Använd bot protection managed rule set för att skydda mot kända dåliga robotar. Mer information finns i Konfigurera robotskydd.

  • Använd hastighetsbegränsningar för att förhindra att IP-adresser anropar tjänsten för ofta. Mer information finns i Hastighetsbegränsning.

  • Blockera IP-adresser och intervall som du identifierar som skadliga. Mer information finns i IP-begränsningar.

  • Blockera eller omdirigera till en statisk webbsida all trafik utanför en definierad geografisk region, eller inom en definierad region som inte passar programmets trafikmönster. Mer information finns i Geo-filtrering.

  • Skapa anpassade WAF-regler för att automatiskt blockera och hastighetsgränsa HTTP- eller HTTPS-attacker som har kända signaturer. Signatur, till exempel en specifik användaragent eller ett specifikt trafikmönster, inklusive rubriker, cookies, frågesträngsparametrar eller en kombination av flera signaturer.

Utöver WAF erbjuder Azure Front Door även standardskydd för Azure Infrastructure DDoS för att skydda mot L3/4 DDoS-attacker. Om du aktiverar cachelagring på Azure Front Door kan du absorbera plötslig trafikvolym vid gränsen och skydda även serverdelsursprung från angrepp.

Mer information om funktioner och DDoS-skydd på Azure Front Door finns i DDoS-skydd på Azure Front Door.

Azure WAF med Azure Application Gateway

Vi rekommenderar att du använder Application Gateway WAF v2 SKU som levereras med de senaste funktionerna, inklusive L7 DDoS-åtgärdsfunktioner, för att skydda mot L7 DDoS-attacker.

Application Gateway WAF SKU:er kan användas för att minimera många L7 DDoS-attacker:

  • Ange att Application Gateway ska skalas upp automatiskt och inte framtvinga antal maximala instanser.

  • Använd bot protection managed rule set ger skydd mot kända dåliga robotar. Mer information finns i Konfigurera robotskydd.

  • Använd hastighetsbegränsningar för att förhindra att IP-adresser anropar tjänsten för ofta. Mer information finns i Konfigurera hastighetsbegränsning för anpassade regler.

  • Blockera IP-adresser och intervall som du identifierar som skadliga. Mer information finns i exempel på Skapa och använda anpassade v2-regler.

  • Blockera eller omdirigera till en statisk webbsida all trafik utanför en definierad geografisk region, eller inom en definierad region som inte passar programmets trafikmönster. Mer information finns i exempel på Skapa och använda anpassade v2-regler.

  • Skapa anpassade WAF-regler för att automatiskt blockera och hastighetsgränsa HTTP- eller HTTPS-attacker som har kända signaturer. Signaturer som en specifik användaragent eller ett specifikt trafikmönster, inklusive rubriker, cookies, frågesträngsparametrar eller en kombination av flera signaturer.

Övrigt att tänka på

  • Lås åtkomsten till offentliga IP-adresser på ursprung och begränsa inkommande trafik till att endast tillåta trafik från Azure Front Door eller Application Gateway till ursprunget. Se vägledningen om Azure Front Door. Application Gateways distribueras i ett virtuellt nätverk, se till att det inte finns några offentligt exponerade IP-adresser.

  • Växla WAF-princip till förebyggande läge. Distribution av principen i identifieringsläge fungerar endast i loggen och blockerar inte trafik. När du har verifierat och testat din WAF-princip med produktionstrafik och finjustering för att minska falska positiva identifieringar bör du aktivera principen i förebyggande läge (block/försvara-läge).

  • Övervaka trafik med hjälp av Azure WAF-loggar för eventuella avvikelser. Du kan skapa anpassade regler för att blockera eventuell trafik som är felaktig – misstänkta IP-adresser som skickar ovanligt många begäranden, ovanlig användaragentsträng, avvikande frågesträngsmönster osv.

  • Du kan kringgå WAF för känd legitim trafik genom att skapa Matcha anpassade regler med åtgärden Tillåt för att minska falska positiva identifieringar. Dessa regler bör konfigureras med hög prioritet (lägre numeriskt värde) än andra regler för block- och hastighetsbegränsning.

  • Du bör minst ha en hastighetsbegränsningsregel som blockerar hög frekvens av begäranden från en enskild IP-adress. Du kan till exempel konfigurera en hastighetsbegränsningsregel för att inte tillåta att en enskild klient-IP-adress skickar mer än XXX-trafik per fönster till din webbplats. Azure WAF stöder två fönster för spårningsbegäranden, 1 och 5 minuter. Vi rekommenderar att du använder 5-minutersfönstret för bättre minskning av HTTP-översvämningsattacker. Den här regeln bör vara regeln med lägst prioritet (prioriteten är sorterad med 1 som högsta prioritet), så att mer specifika regler för hastighetsbegränsning eller Matchningsregler kan skapas för att matcha före den här regeln. Om du använder Application Gateway WAF v2 kan du använda ytterligare hastighetsbegränsningskonfigurationer för att spåra och blockera klienter med andra metoder än klient-IP. Mer information om hastighetsbegränsningar för Application Gateway-waf finns i Översikt över hastighetsbegränsning.

    Följande Log Analytics-fråga kan vara till hjälp vid fastställandet av tröskelvärdet som du bör använda för ovanstående regel. För en liknande fråga men med Application Gateway ersätter du "FrontdoorAccessLog" med "ApplicationGatewayAccessLog".

    AzureDiagnostics
| where Category == "FrontdoorAccessLog"
| summarize count() by bin(TimeGenerated, 5m), clientIp_s
| summarize max(count_), percentile(count_, 99), percentile(count_, 95)

  • Hanterade regler som inte är direkt riktade mot skydd mot DDoS-attacker ger skydd mot andra vanliga attacker. Mer information finns i Hanterade regler (Azure Front Door) eller Hanterade regler (Application Gateway) för att lära dig mer om olika angreppstyper som dessa regler kan hjälpa till att skydda mot.

WAF-logganalys

Du kan analysera WAF-loggar i Log Analytics med följande fråga.

Azure Front Door

AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"

Mer information finns i Azure WAF med Azure Front Door.

Azure Application Gateway

AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"

Mer information finns i Azure WAF med Azure Application Gateway.

Nästa steg