Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera podsumowanie najlepszych rozwiązań dotyczących korzystania z Azure Web Application Firewall w usłudze Azure Front Door.
Ogólne sprawdzone metody postępowania
W tej sekcji omówiono ogólne sprawdzone metody.
Włącz WAF
W przypadku aplikacji dostępnych z Internetu zalecamy włączenie zapory aplikacji internetowej (WAF) i skonfigurowanie jej do korzystania z reguł zarządzanych. Gdy korzystasz z zapory sieciowej (WAF) oraz reguł zarządzanych przez Microsoft, twoja aplikacja jest chroniona przed różnymi atakami.
Dostrój zaporę aplikacji internetowej
Reguły w Twoim WAF powinny być dostosowane do obciążenia. Jeśli zapora aplikacji internetowej nie zostanie odpowiednio skonfigurowana, może przypadkowo zablokować żądania, które powinny być przepuszczane. Dostrajanie może obejmować tworzenie wykluczeń reguł w celu zmniejszenia liczby wykrywania wyników fałszywie dodatnich.
Podczas dostrajania zapory aplikacji internetowej rozważ użycie trybu wykrywania. Ten tryb rejestruje żądania i akcje, które normalnie podjęłaby zapora aplikacji internetowej, ale w rzeczywistości nie blokuje żadnego ruchu.
Aby uzyskać więcej informacji, zobacz Dostrajanie Azure Web Application Firewall dla usługi Azure Front Door.
Korzystanie z trybu zapobiegania
Po dostrojeniu zapory aplikacji internetowej skonfiguruj ją tak, aby działała w trybie zapobiegania. Uruchamiając w trybie prewencji, upewnij się, że zapora aplikacji internetowej blokuje żądania, które wykryją jako złośliwe. Uruchamianie w trybie wykrywania jest przydatne podczas dostrajania i konfigurowania zapory aplikacji internetowej, ale nie zapewnia żadnej ochrony.
Definiowanie konfiguracji zapory aplikacji internetowej jako kodu
Podczas dostrajania zapory sieciowej aplikacji webowej dla obciążenia aplikacji zazwyczaj tworzy się zestaw wykluczeń reguł w celu zmniejszenia liczby fałszywych alarmów. Jeśli ręcznie skonfigurujesz te wykluczenia przy użyciu Azure Portal, po uaktualnieniu zapory aplikacji internetowej do korzystania z nowszej wersji zestawu reguł należy ponownie skonfigurować te same wyjątki względem nowej wersji zestawu reguł. Ten proces może być czasochłonny i podatny na błędy.
Zamiast tego rozważ zdefiniowanie wykluczeń reguł zapory aplikacji internetowej i innej konfiguracji jako kodu, na przykład przy użyciu interfejsu wiersza polecenia platformy Azure, Azure PowerShell, Bicep lub Terraform. Gdy musisz zaktualizować wersję zestawu reguł zapory aplikacji internetowej, możesz łatwo ponownie użyć tych samych wykluczeń.
Najlepsze rozwiązania dotyczące zarządzanego zestawu reguł
W tej sekcji omówiono najważniejsze wskazówki dotyczące zestawów reguł.
Włączanie domyślnych zestawów reguł
Domyślne zestawy reguł firmy Microsoft są przeznaczone do ochrony aplikacji przez wykrywanie i blokowanie typowych ataków. Reguły są oparte na różnych źródłach, w tym na 10 najpopularniejszych typach ataków OWASP i informacjach z usługi Microsoft Threat Intelligence.
Aby uzyskać więcej informacji, zobacz Zestawy reguł zarządzane przez platformę Azure.
Włączanie reguł zarządzania botami
Boty są odpowiedzialne za znaczną część ruchu do aplikacji internetowych. Zestaw reguł ochrony botów zapory aplikacji internetowej kategoryzuje boty na podstawie tego, czy są dobre, złe, czy nieznane. Nieprawidłowe boty mogą być następnie blokowane, podczas gdy dobre boty, takie jak crawlery wyszukiwarek, mogą być przepuszczane do aplikacji.
Aby uzyskać więcej informacji, zobacz Zestaw reguł ochrony przed botami.
Korzystanie z najnowszych wersji zestawu reguł
Firma Microsoft regularnie aktualizuje zarządzane reguły, aby uwzględnić bieżący poziom zagrożenia. Upewnij się, że regularnie sprawdzasz dostępność aktualizacji zestawów reguł zarządzanych przez platformę Azure.
Aby uzyskać więcej informacji, zobacz Azure Web Application Firewall DRS rule groups and rules (Grupy reguł i reguły usługi Azure Web Application Firewall DRS).
Sprawdzone metody ograniczania szybkości
W tej sekcji omówiono najważniejsze wskazówki dotyczące ograniczania szybkości.
Dodawanie limitu szybkości
Zapora aplikacji internetowej usługi Azure Front Door umożliwia kontrolowanie liczby żądań dozwolonych z adresu IP każdego klienta w danym okresie. Dobrym rozwiązaniem jest dodanie limitu szybkości w celu zmniejszenia wpływu klientów przypadkowo lub celowo wysyłających duże ilości ruchu do usługi, na przykład podczas burzy ponownych prób.
Aby uzyskać więcej informacji, zobacz następujące zasoby:
- Co to jest ograniczanie szybkości dla usługi Azure Front Door?.
- Skonfiguruj regułę limitu szybkości Azure Web Application Firewall przy użyciu Azure PowerShell.
- Dlaczego dodatkowe żądania powyżej progu skonfigurowanego dla mojej reguły limitu szybkości są przekazywane do mojego serwera zaplecza?
Używanie wysokiego progu dla limitów szybkości
Zazwyczaj dobrą praktyką jest ustawienie progu limitu szybkości na wysoki. Jeśli na przykład wiadomo, że pojedynczy adres IP klienta może wysyłać około 10 żądań do serwera co minutę, rozważ określenie progu 20 żądań na minutę.
Wysokie progi limitów szybkości pozwalają uniknąć blokowania legalnego ruchu. Te progi nadal zapewniają ochronę przed bardzo dużą liczbą żądań, które mogą przeciążyć infrastrukturę.
Najlepsze rozwiązania dotyczące filtrowania geograficznego
W tej sekcji omówiono sprawdzone metody filtrowania geograficznego.
Filtrowanie geograficznego ruchu
Wiele aplikacji internetowych jest przeznaczonych dla użytkowników w określonym regionie geograficznym. Jeśli taka sytuacja dotyczy Twojej aplikacji, rozważ zaimplementowanie filtrowania geograficznego w celu zablokowania żądań pochodzących spoza krajów lub regionów, z których spodziewasz się odbierać ruch.
Aby uzyskać więcej informacji, zobacz Co to jest filtrowanie geograficzne w domenie dla usługi Azure Front Door?.
Określ nieznaną lokalizację (ZZ)
Niektóre adresy IP nie są mapowane na lokalizacje w naszym zestawie danych. Jeśli nie można zamapować adresu IP na lokalizację, zapora aplikacji internetowej przypisuje ruch do nieznanego kraju lub regionu. Aby uniknąć blokowania prawidłowych żądań z tych adresów IP, rozważ zezwolenie nieznanemu krajowi lub regionowi (ZZ) na korzystanie z filtra geograficznego.
Aby uzyskać więcej informacji, zobacz Co to jest filtrowanie geograficzne w domenie dla usługi Azure Front Door?.
Przemysł drzewny
W tej sekcji omówiono rejestrowanie.
Dodawanie ustawień diagnostycznych w celu zapisania dzienników zapory aplikacji internetowej
Zapora aplikacji internetowej usługi Azure Front Door integruje się z usługą Azure Monitor. Ważne jest, aby zapisać dzienniki zapory aplikacji internetowej w miejscu docelowym, takim jak Log Analytics. Należy regularnie przeglądać dzienniki zapory aplikacji internetowej. Przeglądanie dzienników pomaga dostroić zasady zapory aplikacji internetowej w celu zmniejszenia liczby wyników fałszywie dodatnich i zrozumienia, czy aplikacja była przedmiotem ataków.
Aby uzyskać więcej informacji, zobacz Monitorowanie i rejestrowanie usługi Azure Web Application Firewall.
Wysyłanie dzienników do usługi Microsoft Sentinel
Microsoft Sentinel to system zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), który importuje dzienniki i dane z wielu źródeł, aby zrozumieć poziom zagrożenia dla aplikacji internetowej i ogólnego środowiska platformy Azure. Dzienniki zapory aplikacji internetowej usługi Azure Front Door należy zaimportować do usługi Microsoft Sentinel lub innego rozwiązania SIEM, aby właściwości dostępne z Internetu zostały uwzględnione w analizie. W przypadku usługi Microsoft Sentinel użyj konektora WAF platformy Azure, aby łatwo zaimportować dzienniki zapory aplikacji internetowej (WAF).
Aby uzyskać więcej informacji, zobacz Korzystanie z usługi Microsoft Sentinel z usługą Azure Web Application Firewall.
Dalsze kroki
Dowiedz się, jak utworzyć zasady zapory aplikacji internetowej usługi Azure Front Door.