Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure WAF heeft verschillende verdedigingsmechanismen die kunnen helpen bij het voorkomen van DDoS-aanvallen (Distributed Denial of Service). De DDoS-aanvallen kunnen zich richten op zowel netwerklaag (L3/L4) als toepassingslaag (L7). Azure DDoS beschermt de klant tegen volumetrische aanvallen op grote netwerklagen. Azure WAF werkt op laag 7 en beschermt webtoepassingen tegen DDoS-aanvallen op laag 7, zoals HTTP-floods. Deze beveiliging kan voorkomen dat aanvallers uw toepassing bereiken en de beschikbaarheid en prestaties van uw toepassing beïnvloeden.
Hoe kunt u uw services beveiligen?
Deze aanvallen kunnen worden beperkt door Web Application Firewall (WAF) toe te voegen of DDoS vóór de service te plaatsen om onjuiste aanvragen te filteren. Azure biedt WAF die wordt uitgevoerd aan de netwerkrand met Azure Front Door en in datacenters met Application Gateway. Deze stappen zijn een gegeneraliseerde lijst en moeten worden aangepast aan uw toepassingsvereistenservice.
- Implementeer Azure Web Application Firewall (WAF) met Azure Front Door Premium of Application Gateway WAF v2 SKU om te beschermen tegen aanvallen op de L7-toepassingslaag.
- Schaal het aantal oorspronkelijke instanties omhoog, zodat er voldoende reservecapaciteit is.
- Schakel Azure DDoS Protection in op de openbare IP-adressen van oorsprong om uw openbare IP-adressen te beschermen tegen DDoS-aanvallen van laag 3(L3) en laag 4(L4). De DDoS-aanbiedingen van Azure kunnen de meeste sites automatisch beschermen tegen L3- en L4-volumetrische aanvallen die grote aantallen pakketten naar een website verzenden. Azure biedt standaard ook beveiliging op infrastructuurniveau voor alle sites die in Azure worden gehost.
Azure WAF met Azure Front Door
Azure WAF heeft veel functies die kunnen worden gebruikt om veel verschillende soorten aanvallen te beperken, zoals HTTP-overstromingen, cache-bypass, aanvallen die worden gestart door botnets.
Gebruik beheerde regelset voor botbeveiliging om te beschermen tegen bekende slechte bots. Zie Botbeveiliging configureren voor meer informatie.
Frequentielimieten toepassen om te voorkomen dat IP-adressen uw service te vaak aanroepen. Zie Snelheidsbeperking voor meer informatie.
IP-adressen en reeksen blokkeren die u identificeert als schadelijk. Zie IP-beperkingen voor meer informatie.
Blokkeer of omleid naar een statische webpagina verkeer van buiten een gedefinieerde geografische regio of binnen een gedefinieerde regio die niet past bij het toepassingsverkeerspatroon. Zie Geofiltering voor meer informatie.
Maak aangepaste WAF-regels om HTTP- of HTTPS-aanvallen met bekende handtekeningen automatisch te blokkeren en frequentie te beperken. Handtekening zoals een specifieke gebruikersagent of een specifiek verkeerspatroon, waaronder headers, cookies, queryreeksparameters of een combinatie van meerdere handtekeningen.
Naast WAF biedt Azure Front Door ook standaard DDoS-beveiliging voor Azure Infrastructure om te beschermen tegen DDoS-aanvallen met L3/4. Door caching in te schakelen op Azure Front Door kan het plotselinge piekverkeersvolume aan de rand worden opgenomen en back-end-oorsprongen tegen aanvallen worden beschermd.
Azure WAF met Azure Application Gateway
We raden u aan Application Gateway WAF v2 SKU te gebruiken die wordt geleverd met de nieuwste functies, waaronder L7 DDoS-risicobeperkingsfuncties, om bescherming te bieden tegen DDoS-aanvallen met L7.
WAF-SKU's van Application Gateway kunnen worden gebruikt om veel DDoS-aanvallen met L7 te beperken:
Stel uw Application Gateway in om automatisch op te schalen en het afdwingen van het maximaal aantal exemplaren niet te handhaven.
Beheerde regelset voor botbeveiliging gebruiken biedt bescherming tegen bekende slechte bots. Zie Botbeveiliging configureren voor meer informatie.
Frequentielimieten toepassen om te voorkomen dat IP-adressen uw service te vaak aanroepen. Zie Frequentiebeperking configureren voor aangepaste regels voor meer informatie.
IP-adressen en reeksen blokkeren die u identificeert als schadelijk. Zie voorbeelden in Aangepaste v2-regels maken en gebruiken voor meer informatie.
Blokkeer of omleid naar een statische webpagina verkeer van buiten een gedefinieerde geografische regio of binnen een gedefinieerde regio die niet past bij het toepassingsverkeerspatroon. Zie voorbeelden in Aangepaste v2-regels maken en gebruiken voor meer informatie.
Maak aangepaste WAF-regels om HTTP- of HTTPS-aanvallen met bekende handtekeningen automatisch te blokkeren en frequentie te beperken. Handtekeningen zoals een specifieke gebruikersagent of een specifiek verkeerspatroon, waaronder headers, cookies, queryreeksparameters of een combinatie van meerdere handtekeningen.
Andere overwegingen
Vergrendel de toegang tot openbare IP-adressen op oorsprong en beperk inkomend verkeer om alleen verkeer van Azure Front Door of Application Gateway naar oorsprong toe te staan. Raadpleeg de richtlijnen voor Azure Front Door. Zorg ervoor dat er geen openbaar weergegeven IP-adressen zijn in het virtuele netwerk van Application Gateway.
Schakel WAF-beleid over naar de preventiemodus. Het implementeren van het beleid in de detectiemodus werkt alleen in het logboek en blokkeert geen verkeer. Na het verifiëren en testen van je WAF-beleid met productieverkeer en het afstemmen om fout-positieven te verminderen, moet je je beleid omzetten in de preventiemodus (blok-/beschermmodus).
Bewaak verkeer met behulp van Azure WAF-logboeken voor afwijkingen. U kunt aangepaste regels maken om eventuele overtredingen van verkeer te blokkeren: verdachte IP-adressen die ongebruikelijk veel aanvragen verzenden, ongebruikelijke tekenreeksen voor gebruikersagenten, afwijkende querytekenreekspatronen, enzovoort.
U kunt de WAF voor bekend legitiem verkeer omzeilen door Aangepaste Match-regels te maken met de actie Toestaan om valse positieven te verminderen. Deze regels moeten worden geconfigureerd met een hoge prioriteit (lagere numerieke waarde) dan andere regels voor blok- en frequentielimieten.
U moet minimaal een frequentielimietregel hebben waarmee een hoge frequentie van aanvragen van één IP-adres wordt geblokkeerd. U kunt bijvoorbeeld een frequentielimietregel configureren om niet toe te staan dat één CLIENT-IP-adres meer dan XXX-verkeer per venster naar uw site verzendt. Azure WAF ondersteunt twee vensters voor het bijhouden van aanvragen, 1 en 5 minuten. Het is raadzaam om het venster van 5 minuten te gebruiken voor een betere beperking van HTTP Flood-aanvallen. Deze regel moet de laagste prioriteitsregel zijn (met prioriteit 1 als de hoogste), zodat er meer specifieke snelheidslimietregels of overeenkomregels kunnen worden gemaakt om vóór deze regel te worden toegepast. Als u Application Gateway WAF v2 gebruikt, kunt u andere snelheidsbeperkingsconfiguraties gebruiken om clients bij te houden en te blokkeren op andere methoden dan client-IP. Meer informatie over frequentielimieten in Application Gateway WAF vindt u in het overzicht van snelheidsbeperking.
De volgende Log Analytics-query kan handig zijn bij het bepalen van de drempelwaarde die u voor de vorige regel moet gebruiken. Voor een vergelijkbare query, maar met Application Gateway, vervangt u door
FrontdoorAccessLogApplicationGatewayAccessLog.AzureDiagnostics | where Category == "FrontdoorAccessLog" | summarize count() by bin(TimeGenerated, 5m), clientIp_s | summarize max(count_), percentile(count_, 99), percentile(count_, 95)Beheerde regels, terwijl ze niet rechtstreeks zijn gericht op verdediging tegen DDoS-aanvallen, bieden bescherming tegen andere veelvoorkomende aanvallen. Zie Beheerde regels (Azure Front Door) of beheerde regels (Application Gateway) voor meer informatie over verschillende aanvalstypen die door deze regels kunnen worden beschermd.
WAF-logboekanalyse
U kunt WAF-logboeken analyseren in Log Analytics met de volgende query.
Azure Front Door (een cloudgebaseerde dienst voor netwerkbeveiliging en contentlevering)
AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"
Zie Azure WAF met Azure Front Door voor meer informatie.
Azure Application Gateway
AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"
Voor meer informatie, zie Azure WAF met Azure Application Gateway.
Verwante inhoud
- Een WAF-beleid maken voor Azure Front Door.
- Maak een Application Gateway met een Web Application Firewall.
- Meer informatie over hoe Azure Front Door kan helpen beschermen tegen DDoS-aanvallen.
- Beveilig uw toepassingsgateway met Azure DDoS Network Protection.
- Meer informatie over Azure DDoS Protection.