Azure Web Uygulaması Güvenlik Duvarı hakkında sık sorulan Azure Front Door Service

Azure WAF, web uygulamalarınızı uygulama ekleme, siteler arası betik ekleme ve diğer web açıklarından SQL yaygın tehditlere karşı korumaya yardımcı olan bir web uygulaması güvenlik duvarıdır. Web uygulamalarınıza erişimi kontrol etmek için özel ve yönetilen kuralların birleşimini bir aradan oluşan bir WAF ilkesi tanımlayabilirsiniz.

Azure WAF ilkesi, Application Gateway veya Azure Front Doors'ta barındırılan web uygulamalarına uygulanabilir.

Azure Front Door, yüksek oranda ölçeklenebilir, küresel olarak dağıtılmış bir uygulama ve içerik teslim ağıdır. Front Door ile tümleştirilen Azure WAF, Azure ağ kenarında hizmet reddi ve hedeflenen uygulama saldırılarını durdurur. Saldırı kaynaklarına sanal ağınıza girmeden önce kaynaklara yakın olur ve performansdan ödün vermeden koruma sunar.

Front Door TLS yük boşaltması sunar. WAF, Front Door ile yerel olarak tümleştirilmiştir ve şifresi çözüldikten sonra isteği inceler.

Evet. IPv4 ve IPv6 için IP kısıtlaması yapılandırarak.

Değişen tehdit ortamını takip etmek için elimizden geleni yapacağız. Yeni bir kural güncelleştirildiğinde, Yeni sürüm numarasıyla Varsayılan Kural Kümesine eklenir.

Çoğu WAF ilke dağıtımı 20 dakikadan daha küçük bir süre içinde tamamlanır. Güncelleştirme küresel olarak tüm uç konumlarda tamamlandıktan hemen sonra ilkenin etkili olmasını babilirsiniz.

WaF, Front Door ile tümleştirilene genel bir kaynaktır. Aynı yapılandırma, tüm Front Door uygulanır.

Yalnızca giden IP Access Control aralıklarına izin vermek ve İnternet'e doğrudan erişimi reddetmek için ip Front Door Listesini yapılandırabilirsiniz. Hizmet etiketleri, sanal ağ üzerinde kullanabileceğiniz şekilde de desteklemektedir. Ayrıca, X-Forwarded-Host HTTP üst bilgisi alanı web uygulamanız için geçerli olduğunu doğrular.

Azure'da WAF ilkeleri uygularken iki seçenek vardır. waf with Azure Front Door, küresel olarak dağıtılmış, uç güvenlik çözümüdür. waf with Application Gateway is a regional, dedicated solution. Genel performans ve güvenlik gereksinimlerinize göre bir çözüm seçmenizi öneririz. Daha fazla bilgi için bkz. Azure'ın uygulama teslim paketiyle yük dengeleme.

WaF'yi mevcut bir uygulamada etkinleştirebilir ve WAF kurallarının yasal trafiği tehdit olarak algılayan hatalı pozitif algılamalar olması yaygın bir durumdur. Kullanıcılarınız üzerindeki etki riskini en aza indirmek için aşağıdaki işlemi öneririz:

• Bu işlem üzerinde çalışırken WAF'nin istekleri engellemey olduğundan emin olmak için WAF'yi Algılama modunda etkinleştirin.

  Önemli

  Bu işlemde, önceliğiniz uygulama kullanıcılarınıza olan sıkıntıyı en aza indirmek olduğunda WAF'yi yeni veya mevcut bir çözümde nasıl etkinleştirebilirsiniz? Saldırı veya tehdit altındaysanız WAF'yi hemen Önleme modunda dağıtmak ve zaman içinde WAF'yi izlemek ve ayarlamak için ayarlama işlemini kullanmak iyi olabilir. Bu, geçerli trafiğinizin bazılarının engellenmiş olmasıyla büyük olasılıkla neden olur. Bu nedenle yalnızca tehdit altındayken bunu öneririz.

• WAF'ı ayarlamak için yönergelerimizi izleyin. Bu işlem için tanılama günlüğünü etkinleştirmeniz, günlükleri düzenli olarak gözden geçirmeniz ve kural dışlamaları ve diğer risk azaltmaları eklemeniz gerekir.
• Meşru trafiğin engellenmiş olmadığını anlayıncaya kadar bu işlemi tekrarlayın ve günlükleri düzenli olarak kontrol edin. Tüm işlem birkaç hafta sürebilir. İdeal olarak, her ayar değişikliğinin ardından daha az hatalı pozitif algılama görmelisiniz.
• Son olarak, WAF'yi Önleme modunda etkinleştirin.
• WAF'i üretimde çalıştırdıktan sonra bile, diğer hatalı pozitif algılamaları belirlemek için günlükleri izlemeye devam edin. Günlükleri düzenli olarak gözden geçirmek, engellenen gerçek saldırı girişimlerini tanımlamanıza da yardımcı olur.

Şu anda ModSec CRS 2.2.9, CRS 3.0 ve CRS 3.1 kuralları yalnızca Application Gateway. Hız sınırlama, coğrafi filtreleme ve Azure tarafından yönetilen Varsayılan Kural Kümesi kuralları yalnızca Azure Front Door.

Azure ağ uçlarında küresel olarak dağıtılan Azure Front Door büyük hacimli saldırıları alır ve coğrafi olarak yalıtabilirsiniz. Bilinen imzalara sahip http saldırılarını otomatik olarak engellemek ve hız sınırlamak için özel WAF ilkesi oluşturabilirsiniz. Daha fazla bilgi için arka uçların dağıtılacağı sanal ağ üzerinde DDoS Koruma Standardı'nın etkinleştirildi. Azure DDoS Koruması Standart müşteriler, saldırı sırasında anında yardım almak için maliyet koruması, SLA garantisi ve DDoS Hızlı Yanıt Ekibinden uzmanlara erişim gibi ek avantajlar elde eder. Daha fazla bilgi için bkz. DDoS koruması Front Door.

Hız sınırı kuralı, herhangi bir istemci IP adresine gelen olağan dışı yüksek trafiği sınırlar. Bir dakikalık veya beş dakikalık bir süre boyunca istemci IP adresine izin verilen web isteklerinin sayısına bir eşik yapılandırabilirsiniz. Ayrıntılı hız denetimi için hız sınırlama, HTTP(S) parametresi eşleştirme gibi ek eşleşme koşullarıyla bir araya gelir.

Aynı istemciden gelen istekler genellikle aynı sunucuya Front Door gelir. Bu durumda eşiğin üzerindeki ek isteklerin hemen engellenmiş olduğunu görebilirsiniz.

Ancak, aynı istemciden gelen istekler, hız sınırı sayacını henüz yenilememiş Front Door farklı bir sunucuya ulaşabilirsiniz. Örneğin, istemci her istek için yeni bir bağlantı açabilir ve eşik düşüktür. Bu durumda, yeni sunucuya yapılan ilk Front Door hız sınırı denetimi geçer. Hız sınırı eşiği genellikle herhangi bir istemci IP adresine yönelik hizmet reddi saldırılarına karşı koruma için yüksek olarak ayarlanır. Çok düşük bir eşik için eşiğin üzerinde ek istekler görebilirsiniz.

Front Door WAF aşağıdaki içerik türlerini destekler:

• DRS 2.0

  Yönetilen kurallar

  • uygulama/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Özel kurallar

  • application/x-www-form-urlencoded

• DRS 1.x

  Yönetilen kurallar

  • application/x-www-form-urlencoded
  • metin/düz

  Özel kurallar

  • application/x-www-form-urlencoded

Sonraki adımlar

• hakkında bilgi Azure Web Uygulaması Güvenlik Duvarı.
• hakkında daha fazla bilgi Azure Front Door.