In diesem Artikel werden häufig gestellte Fragen zu Features und Funktionen für die Azure Web Application Firewall auf Azure Front Door beantwortet.
Was ist die Azure Web Application Firewall?
Azure Web Application Firewall ist eine Webanwendungsfirewall (WAF), die Ihre Webanwendungen vor häufigen Bedrohungen wie SQL-Einfügung, websiteübergreifendes Skripting und anderen Web-Exploits schützt. Sie können eine WAF-Richtlinie definieren, die aus einer Kombination aus benutzerdefinierten und verwalteten Regeln besteht, um den Zugriff auf Ihre Webanwendungen zu steuern.
Sie können eine WAF-Richtlinie auf Webanwendungen anwenden, die auf Azure-Anwendungsgateway oder Azure Front Door gehostet werden.
Was ist die Azure Web Application Firewall auf Azure Front Door?
Azure Front Door ist ein Anwendungs- und Inhaltsübermittlungsnetzwerk, das hochgradig skalierbar und global verteilt ist. Wenn sie in Azure Front Door integriert ist, stoppt die Azure-Webanwendungsfirewall denial-of-Service und gezielte Anwendungsangriffe am Azure-Netzwerk-Edge (nah an Angriffsquellen), bevor sie in Ihr virtuelles Netzwerk eintreten. Diese Kombination bietet Schutz, ohne die Leistung zu beeinträchtigen.
Unterstützt die Azure-Webanwendungsfirewall HTTPS?
Azure Front Door bietet eine Entlastung der Transport Layer Security (TLS). Die Azure-Webanwendungsfirewall ist nativ in Azure Front Door integriert und kann eine Anforderung überprüfen, nachdem sie entschlüsselt wurde.
Unterstützt die Azure Web Application Firewall IPv6?
Ja. Sie können IP-Einschränkungen für IPv4 und IPv6 konfigurieren. Weitere Informationen finden Sie im Blogbeitrag zur Einführung von IPv6 zur Verbesserung der Azure Web Application Firewall auf Azure Front Door.
Wie aktuell sind die verwalteten Regelsätze?
Wir tun unser Bestes, um mit der dynamischen Bedrohungslage Schritt zu halten. Wenn eine Regel aktualisiert wird, fügen wir sie dem Standardregelsatz (Default Rule Set, DRS) mit einer neuen Versionsnummer hinzu.
Wie lange dauert es, bis eine Änderung, die ich an meiner WAF-Richtlinie vorgenommen habe, verteilt wurde?
Die meisten WAF-Richtlinienbereitstellungen werden in weniger als 20 Minuten abgeschlossen. Sie können damit rechnen, dass die Richtlinie in Kraft tritt, sobald das Update global and allen Edgestandorten abgeschlossen ist.
Können für verschiedene Regionen unterschiedliche WAF-Richtlinien verwendet werden?
Wenn die Azure-Webanwendungsfirewall in Azure Front Door integriert ist, handelt es sich bei der WAF um eine globale Ressource. Die gleiche Konfiguration gilt für alle Azure Front Door-Standorte.
Wie kann ich sicherstellen, dass nur Azure Front Door auf das Back-End in meinem Netzwerk zugreifen kann?
Sie können eine IP-Zugriffssteuerungsliste in Ihrem Back-End so konfigurieren, dass nur ausgehende IP-Adressbereiche von Azure Front Door zulässig sind, indem Sie ein Azure Front Door-Diensttag verwenden und den direkten Zugriff über das Internet verweigern. Diensttags werden für Ihr virtuelles Netzwerk unterstützt. Darüber hinaus können Sie überprüfen, ob das X-Forwarded-Host HTTP-Headerfeld für Ihre Webanwendung gültig ist.
Welche WAF-Optionen sollte ich auswählen?
Es gibt zwei Optionen zum Anwenden von WAF-Richtlinien in Azure. Die Azure Web Application Firewall auf Azure Front Door ist eine global verteilte Edge-Sicherheitslösung. Die Azure-Webanwendungsfirewall auf dem Anwendungsgateway ist eine regionale, dedizierte Lösung. Es wird empfohlen, eine Lösung basierend auf Ihren allgemeinen Leistungs- und Sicherheitsanforderungen auszuwählen. Weitere Informationen finden Sie unter "Lastenausgleichsoptionen".
Was ist der empfohlene Ansatz für die Aktivierung eines WAF auf Azure Front Door?
Wenn Sie das WAF für eine vorhandene Anwendung aktivieren, ist es üblich, dass falsch positive Erkennungen vorhanden sind, bei denen die WAF-Regeln legitimen Datenverkehr als Bedrohung erkennen. Um das Risiko einer Beeinträchtigung für die Benutzer zu minimieren, wird der folgende Prozess empfohlen:
Aktivieren Sie die WAF im Erkennungsmodus, um sicherzustellen, dass die WAF keine Anforderungen blockiert, während Sie diesen Prozess durchlaufen. Wir empfehlen diesen Schritt zu Testzwecken auf dem WAF.
Wichtig
In diesem Prozess wird beschrieben, wie Sie WAF für eine neue oder vorhandene Lösung aktivieren, wenn die Priorität darin besteht, Störungen für die Benutzer Ihrer Anwendung zu minimieren. Wenn Sie angriffe oder bevorstehende Bedrohungen ausgesetzt sind, sollten Sie den WAF stattdessen sofort im Präventionsmodus bereitstellen. Anschließend können Sie den Optimierungsprozess verwenden, um den WAF im Laufe der Zeit zu überwachen und zu optimieren. Dieser Ansatz wird wahrscheinlich dazu führen, dass ein teil Ihres legitimen Datenverkehrs blockiert wird, weshalb wir die Verwendung nur empfehlen, wenn Sie bedroht sind.
Befolgen Sie die Anweisungen zum Optimieren der WAF. Für diesen Prozess ist es erforderlich, dass Sie die Diagnoseprotokollierung aktivieren, die Protokolle regelmäßig überprüfen und Regelausschlüsse und andere Risikominderungen hinzufügen.
Wiederholen Sie diesen gesamten Prozess, und überprüfen Sie die Protokolle regelmäßig, bis Sie zufrieden sind, dass kein legitimer Datenverkehr blockiert wird. Der gesamte Vorgang kann mehrere Wochen dauern. Im Idealfall sollten nach jeder vorgenommenen Optimierungsänderung weniger falsch positive Erkennungen angezeigt werden.
Aktivieren Sie schließlich den WAF im Verhinderungsmodus.
Auch nachdem Sie das WAF in der Produktion ausgeführt haben, sollten Sie die Protokolle überwachen, um andere falsch positive Erkennungen zu identifizieren. Durch regelmäßiges Überprüfen der Protokolle können Sie auch echte Angriffsversuche identifizieren, die blockiert wurden.
Unterstützen Sie die gleichen WAF-Features auf allen integrierten Plattformen?
Derzeit werden die Regeln "Core Rule Set(CRS) 3.0", "CRS 3.1" und "CRS 3.2" nur mit der Azure Web Application Firewall auf dem Anwendungsgateway unterstützt. Ratenbeschränkungen und von Azure verwaltete DRS-Regeln werden nur mit der Azure-Webanwendungsfirewall auf Azure Front Door unterstützt.
Ist DDoS-Schutz in Azure Front Door integriert?
Azure Front Door wird global an Azure-Netzwerk-Edges verteilt. Es kann großvolumige Angriffe aufnehmen und geografisch isolieren. Sie können eine benutzerdefinierte WAF-Richtlinie erstellen, um HTTP- und HTTPS-Angriffe mit bekannten Signaturen automatisch zu blockieren und zu begrenzen. Sie können auch den DDoS-Netzwerkschutz (Distributed Denial-of-Service) im virtuellen Netzwerk aktivieren, in dem Ihre Back-Ends bereitgestellt werden.
Kunden des Azure DDoS Protection-Diensts erhalten zusätzliche Vorteile, einschließlich Kostenschutz, SLA-Garantie (Service Level Agreement) und Zugriff auf Experten aus dem DDoS Rapid Response Team für sofortige Hilfe während eines Angriffs. Weitere Informationen finden Sie unter DDoS Protection auf Azure Front Door.
Warum werden zusätzliche Anforderungen oberhalb des Schwellenwerts, der für meine Rate-Limit-Regel konfiguriert ist, an meinen Back-End-Server übergeben?
Möglicherweise werden Anforderungen nicht sofort durch die Ratenbegrenzung blockiert, wenn verschiedene Azure Front Door-Server Anforderungen verarbeiten. Weitere Informationen finden Sie unter "Ratenbeschränkungen" und "Azure Front Door"-Server.
Welche Inhaltstypen unterstützt die WAF?
Der Azure Front Door WAF unterstützt die folgenden Inhaltstypen:
DRS 2.0
Verwaltete Regeln:
application/jsonapplication/xmlapplication/x-www-form-urlencodedmultipart/form-data
Benutzerdefinierte Regeln:
application/x-www-form-urlencoded
DRS 1.x
Verwaltete Regeln:
application/x-www-form-urlencodedtext/plain
Benutzerdefinierte Regeln:
application/x-www-form-urlencoded
Hinweis
Azure Front Door WAF unterstützt keine Inhaltscodierung. Dies bedeutet, dass komprimierte Körper nicht dekomprimiert werden, bevor sie an die WAF-Engine gesendet werden.
Kann ich eine WAF-Richtlinie für Azure Front Door auf Front-End-Hosts in Azure Front Door Premium-Profilen anwenden, die zu verschiedenen Abonnements gehören?
Nein, das ist nicht möglich. Das Azure Front Door-Profil und die WAF-Richtlinie müssen sich im selben Abonnement befinden.