Azure Front Door 中 Azure Web 應用程式防火牆的最佳做法

本文摘要說明在 Azure Front Door 中使用 Azure Web 應用程式防火牆 的最佳做法。

一般最佳做法

本節討論一般最佳做法。

啟用 WAF

針對網際網路對向應用程式，建議您啟用 Web 應用程式防火牆 （WAF），並將其設定為使用受控規則。 當您使用 WAF 和 Microsoft 管理的規則時，您的應用程式會受到各種攻擊的保護。

調整 WAF

WAF 中的規則應針對您的工作負載進行調整。 如果您未微調 WAF，可能會不小心封鎖應該允許的要求。 微調可能涉及建立 規則排除 專案，以減少誤判偵測。

當您微調 WAF 時，請考慮使用 偵測模式 。 此模式會記錄要求和 WAF 通常會採取的動作，但實際上不會封鎖任何流量。

如需詳細資訊，請參閱 調整 Azure Front Door 的 Azure Web 應用程式防火牆。

使用預防模式

微調 WAF 之後，請將它設定為 以預防模式 執行。 藉由在預防模式中執行，您可以確定 WAF 會封鎖偵測到的要求是惡意的。 當您微調並設定 WAF 時，在偵測模式中執行會很有用，但不會提供任何保護。

將您的 WAF 組態定義為程式碼

當您針對應用程式工作負載調整 WAF 時，通常會建立一組規則排除專案，以減少誤判偵測。 如果您使用 Azure 入口網站手動設定這些排除專案，當您將 WAF 升級為使用較新的規則集版本時，您必須針對新的規則集版本重新設定相同的例外狀況。 此程式相當耗時且容易出錯。

相反地，請考慮將 WAF 規則排除專案和其他設定定義為程式碼，例如使用 Azure CLI、Azure PowerShell、Bicep 或 Terraform。 當您需要更新 WAF 規則集版本時，您可以輕鬆地重複使用相同的排除專案。

受控規則集最佳做法

本節討論規則集的最佳做法。

啟用預設規則集

Microsoft 的預設規則集是設計來偵測和封鎖常見的攻擊，以保護您的應用程式。 這些規則是以各種來源為基礎，包括來自 Microsoft 威脅情報的 OWASP 前 10 種攻擊類型和資訊。

如需詳細資訊，請參閱 Azure 受控規則集 。

啟用 Bot 管理規則

Bot 負責大量流量到 Web 應用程式。 WAF 的 Bot 保護規則集會根據 Bot 是否良好、不良或未知來分類 Bot。 然後可能會封鎖不正確的 Bot，而搜尋引擎編目程式等良好 Bot 則允許透過您的應用程式。

如需詳細資訊，請參閱 Bot 保護規則集 。

使用最新的規則集版本

Microsoft 會定期更新受管理的規則，以考慮目前的威脅環境。 請確定您定期檢查 Azure 受控規則集的更新。

如需詳細資訊，請參閱 Azure Web 應用程式防火牆 DRS 規則群組和規則 。

速率限制最佳做法

本節討論速率限制的最佳做法。

新增速率限制

Azure Front Door WAF 可讓您控制一段時間內每個用戶端 IP 位址所允許的要求數目。 建議您新增速率限制，以減少不小心或刻意將大量流量傳送至服務的效果，例如在重試風暴 期間 。

如需詳細資訊，請參閱以下資源：

• 什麼是 Azure Front Door 的速率限制？ 。
• 使用 Azure PowerShell 設定 Azure Web 應用程式防火牆速率限制規則。
• 為什麼將超出針對速率限制規則所設定閾值的其他要求傳遞至後端伺服器？

針對速率限制使用高閾值

通常最好將您的速率限制閾值設定為高。 例如，如果您知道單一用戶端 IP 位址每分鐘可能會傳送大約 10 個要求到您的伺服器，請考慮指定每分鐘 20 個要求的臨界值。

高速率限制閾值可避免封鎖合法的流量。 這些臨界值仍會針對可能淹沒基礎結構的大量要求提供保護。

異地篩選最佳做法

本節討論地理篩選的最佳做法。

異地篩選流量

許多 Web 應用程式都是針對特定地理區域內的使用者所設計。 如果這種情況適用于您的應用程式，請考慮實作異地篩選來封鎖來自您預期接收流量的國家或地區以外的要求。

如需詳細資訊，請參閱 什麼是 Azure Front Door 網域的地理篩選？ 。

指定未知的位置 （ZZ） 位置

某些 IP 位址未對應至資料集中的位置。 當 IP 位址無法對應至位置時，WAF 會將流量指派給未知 （ZZ） 國家或地區。 若要避免封鎖來自這些 IP 位址的有效要求，請考慮允許未知的 （ZZ） 國家或地區透過您的地理篩選。

如需詳細資訊，請參閱 什麼是 Azure Front Door 網域的地理篩選？ 。

記錄

本節討論記錄。

新增診斷設定以儲存 WAF 的記錄

Azure Front Door WAF 與 Azure 監視器整合。 請務必將 WAF 記錄儲存到 Log Analytics 之類的目的地。 您應該定期檢閱 WAF 記錄。 檢閱記錄可 協助您調整 WAF 原則，以減少誤判偵測 ，並瞭解您的應用程式是否為攻擊的主題。

如需詳細資訊，請參閱 Azure Web 應用程式防火牆監視和記錄 。

傳送記錄至 Microsoft Sentinel

Microsoft Sentinel 是安全性資訊和事件管理 （SIEM） 系統，它會從多個來源匯入記錄和資料，以瞭解 Web 應用程式和整體 Azure 環境的威脅環境。 Azure Front Door WAF 記錄應該匯入 Microsoft Sentinel 或其他 SIEM，讓您的網際網路對應屬性包含在其分析中。 針對 Microsoft Sentinel，使用 Azure WAF 連接器輕鬆地匯入您的 WAF 記錄。

如需詳細資訊，請參閱 搭配 Azure Web 應用程式防火牆 使用 Microsoft Sentinel。

下一步

瞭解如何 建立 Azure Front Door WAF 原則 。