Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące funkcji i możliwości platformy Azure Web Application Firewall na platformie Azure Front Door.
Co to jest usługa Azure Web Application Firewall?
Usługa Azure Web Application Firewall to zapora aplikacji internetowej(WAF), która pomaga chronić aplikacje internetowe przed typowymi zagrożeniami, takimi jak wstrzyknięcie kodu SQL, wykonywanie skryptów między witrynami i inne luki w zabezpieczeniach sieci Web. Można zdefiniować politykę WAF, która obejmuje kombinację niestandardowych i zarządzanych reguł do kontrolowania dostępu do aplikacji internetowych.
Polityki zapory WAF można zastosować do aplikacji internetowych hostowanych w Azure Application Gateway lub Azure Front Door.
Co to jest usługa Azure Web Application Firewall w usłudze Azure Front Door?
Azure Front Door to sieć dostarczania aplikacji i zawartości, która jest wysoce skalowalna i globalnie dystrybuowana. Zapora aplikacji internetowej platformy Azure, gdy jest zintegrowana z usługą Azure Front Door, zatrzymuje ataki typu "odmowa usługi" i ukierunkowane ataki aplikacji na brzegu sieci platformy Azure (blisko źródeł ataków), zanim wejdą do sieci wirtualnej. Ta kombinacja zapewnia ochronę bez poświęcania wydajności.
Czy usługa Azure Web Application Firewall obsługuje protokół HTTPS?
Usługa Azure Front Door oferuje odciążanie protokołu Transport Layer Security (TLS). Usługa Azure Web Application Firewall jest natywnie zintegrowana z usługą Azure Front Door i może sprawdzić żądanie po jego odszyfrowaniu.
Czy zapora aplikacji internetowej platformy Azure obsługuje protokół IPv6?
Tak. Możesz skonfigurować ograniczenie adresów IP dla protokołów IPv4 i IPv6. Aby uzyskać więcej informacji, zobacz wpis w blogu dotyczący wdrażania protokołu IPv6 na potrzeby ulepszania usługi Azure Web Application Firewall w usłudze Azure Front Door.
Jak aktualne są zarządzane zestawy reguł?
Robimy wszystko, aby nadążyć za zmieniającym się krajobrazem zagrożeń. Po zaktualizowaniu reguły dodamy ją do domyślnego zestawu reguł (DRS) przy użyciu nowego numeru wersji.
Jaki jest czas propagacji, jeśli wprowadzim zmianę w zasadach zapory aplikacji internetowej?
Większość wdrożeń zasad WAF kończy się w mniej niż 20 minut. Zasady będą obowiązywać natychmiast po zakończeniu aktualizacji we wszystkich lokalizacjach brzegowych na całym świecie.
Czy zasady zapory aplikacji internetowej mogą być różne dla różnych regionów?
Gdy Azure Web Application Firewall jest zintegrowany z Azure Front Door, jest zasobem globalnym. Ta sama konfiguracja ma zastosowanie we wszystkich lokalizacjach usługi Azure Front Door.
Jak upewnić się, że tylko usługa Azure Front Door może uzyskać dostęp do zaplecza w mojej sieci?
Listę kontroli dostępu do adresów IP można skonfigurować w zapleczu, aby zezwalać tylko na zakresy adresów IP wychodzących usługi Azure Front Door przy użyciu tagu usługi Azure Front Door i odmawiać dostępu bezpośredniego z Internetu. Tagi usługi są obsługiwane dla sieci wirtualnej. Ponadto możesz sprawdzić, czy pole nagłówka X-Forwarded-Host HTTP jest prawidłowe dla aplikacji internetowej.
Które opcje WAF powinienem wybrać?
Istnieją dwie opcje stosowania zasad WAF w Azure. Usługa Azure Web Application Firewall w usłudze Azure Front Door to globalnie rozproszone, brzegowe rozwiązanie zabezpieczeń. Usługa Azure Web Application Firewall w usłudze Application Gateway to regionalne, dedykowane rozwiązanie. Zalecamy wybranie rozwiązania na podstawie ogólnych wymagań dotyczących wydajności i zabezpieczeń. Aby uzyskać więcej informacji, zobacz Opcje równoważenia obciążenia.
Jakie jest zalecane podejście do włączenia WAF w usłudze Azure Front Door?
Po włączeniu WAF w istniejącej aplikacji, często występują fałszywe alarmy, w których reguły WAF wykrywają uzasadniony ruch jako zagrożenie. Aby zminimalizować ryzyko wpływu na użytkowników, zalecamy następujący proces:
Włącz WAF (zapora aplikacji internetowej) w trybie wykrywania, aby upewnić się, że WAF nie blokuje żądań podczas pracy nad tym procesem. Zalecamy ten krok do celów testowych na WAF.
Ważne
W tym procesie opisano sposób włączania zapory aplikacji internetowej w nowym lub istniejącym rozwiązaniu, gdy priorytetem jest zminimalizowanie zakłóceń dla użytkowników aplikacji. Jeśli jesteś pod atakiem lub w obliczu bezpośredniego zagrożenia, możesz zamiast tego natychmiast wdrożyć WAF w trybie zapobiegania. Następnie możesz użyć procesu dostrajania, aby monitorować i dostrajać WAF w czasie. Takie podejście prawdopodobnie spowoduje zablokowanie niektórego z Twojego legalnego ruchu, dlatego zalecamy użycie go tylko wtedy, gdy jesteś zagrożony.
Postępuj zgodnie ze wskazówkami dotyczącymi konfigurowania WAF. Ten proces wymaga włączenia rejestrowania diagnostycznego, regularnego przeglądania dzienników oraz dodawania wykluczeń reguł i innych środków zaradczych.
Powtórz cały ten proces i regularnie sprawdzaj pliki dziennika, dopóki nie będziesz mieć pewności, że żaden uprawniony ruch nie jest blokowany. Cały proces może potrwać kilka tygodni. Optymalnie, po każdej zmianie dostrajania, należy oczekiwać mniej fałszywie dodatnich wykryć.
Na koniec włącz zaporę aplikacji internetowej w trybie zapobiegania.
Nawet po uruchomieniu WAF w środowisku produkcyjnym należy monitorować logi, aby zidentyfikować inne wykrycia fałszywie dodatnie. Regularne przeglądanie dzienników ułatwia również zidentyfikowanie wszelkich rzeczywistych prób ataku, które zostały zablokowane.
Czy obsługujesz te same funkcje WAF na wszystkich zintegrowanych platformach?
Obecnie reguły podstawowego zestawu reguł (CRS) 3.0, CRS 3.1 i CRS 3.2 są obsługiwane tylko w przypadku usługi Azure Web Application Firewall w usłudze Application Gateway. Ograniczanie szybkości i zarządzane przez platformę Azure reguły DRS są obsługiwane tylko w ramach zapory sieciowej aplikacji internetowych Azure Web Application Firewall na platformie Azure Front Door.
Czy ochrona przed atakami DDoS jest zintegrowana z usługą Azure Front Door?
Usługa Azure Front Door jest globalnie dystrybuowana na brzegach sieci platformy Azure. Może on absorbować i izolować geograficznie duże ataki. Możesz utworzyć niestandardową politykę WAF, aby automatycznie blokować i ograniczać szybkość ataków HTTP i HTTPS o znanych sygnaturach. Możesz również włączyć ochronę sieci przed rozproszonymi atakami typu odmowa usługi (DDoS) w sieci wirtualnej, w której są wdrażane zasoby zaplecza.
Klienci usługi Azure DDoS Protection otrzymują dodatkowe korzyści, w tym ochronę kosztów, gwarancję poziomu usług (SLA) oraz dostęp do ekspertów z zespołu DDoS Rapid Response Team w celu natychmiastowej pomocy podczas ataku. Aby uzyskać więcej informacji, zobacz DDoS Protection w usłudze Azure Front Door.
Dlaczego dodatkowe żądania powyżej progu skonfigurowanego dla mojej reguły limitu szybkości są przekazywane do mojego serwera zaplecza?
Żądania mogą nie być natychmiast blokowane przez limit szybkości, gdy różne serwery usługi Azure Front Door przetwarzają żądania. Aby uzyskać więcej informacji, zobacz Limity szybkości i serwery usługi Azure Front Door.
Jakie typy zawartości obsługuje zapora aplikacji internetowej?
Usługa Azure Front Door WAF obsługuje następujące typy zawartości:
DRS 2.0 (wersja 2.0)
Reguły zarządzane:
application/jsonapplication/xmlapplication/x-www-form-urlencodedmultipart/form-data
Reguły niestandardowe:
application/x-www-form-urlencoded
DRS 1.x
Reguły zarządzane:
application/x-www-form-urlencodedtext/plain
Reguły niestandardowe:
application/x-www-form-urlencoded
Uwaga / Notatka
Zapora aplikacji internetowej (WAF) usługi Azure Front Door nie obsługuje kodowania zawartości. Oznacza to, że skompresowane ciała nie zostaną zdekompresowane przed wysłaniem do mechanizmu WAF.
Czy mogę zastosować politykę WAF usługi Azure Front Door do hostów front-end w profilach Azure Front Door Premium, które należą do różnych subskrypcji?
Nie, nie można. Profil usługi Azure Front Door i zasady WAF (zapory aplikacji internetowej) muszą znajdować się w tej samej subskrypcji.