Udostępnij przez

Usługa Azure Web Application Firewall w usłudze Azure Content Delivery Network

Wdrożenie usługi Azure Web Application Firewall w usłudze Azure Content Delivery Network zapewnia scentralizowaną ochronę zawartości internetowej. Usługa Azure Web Application Firewall broni usług internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach. Pomaga zapewnić wysoką dostępność usługi dla użytkowników i pomaga spełnić wymagania dotyczące zgodności.

Ważne

Wersja zapoznawcza usługi Azure Web Application Firewall w usłudze Azure Content Delivery Network nie akceptuje już nowych klientów. Zachęcamy klientów do korzystania z usługi Azure Web Application Firewall w usłudze Azure Front Door .

Zapewniamy istniejącym klientom umowę dotyczącą poziomu usług w wersji zapoznawczej. Niektóre funkcje mogą nie być obsługiwane lub mogą mieć ograniczone możliwości. Aby uzyskać szczegółowe informacje, zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure.

Usługa Azure Web Application Firewall w usłudze Azure Content Delivery Network to globalne i scentralizowane rozwiązanie. Jest ona wdrażana w lokalizacjach brzegowych sieci platformy Azure na całym świecie. Zapora aplikacji internetowej platformy Azure zatrzymuje złośliwe ataki w pobliżu źródeł ataków, zanim dotrą do źródła. Ochrona globalna jest dostępna na dużą skalę bez poświęcania wydajności.

Zasady zapory aplikacji internetowej (WAF) łączą się z dowolnym punktem końcowym sieci dostarczania zawartości (CDN) w ramach subskrypcji. Nowe reguły można wdrożyć w ciągu kilku minut, aby szybko reagować na zmieniające się wzorce zagrożeń.

Diagram przedstawiający sposób działania usługi Azure Web Application Firewall w usłudze Azure Content Delivery Network na żądaniach przychodzących.

Zasady i reguły zapory aplikacji internetowej

Zasady zapory aplikacji internetowej można skonfigurować i skojarzyć te zasady z co najmniej jednym punktem końcowym usługi CDN na potrzeby ochrony. Zasady zapory aplikacji internetowej składają się z dwóch typów reguł zabezpieczeń:

  • Reguły niestandardowe: reguły, które można utworzyć samodzielnie.
  • Zarządzane zestawy reguł: wstępnie skonfigurowane reguły zarządzane przez platformę Azure, które można włączyć.

Gdy obie są obecne, zapora aplikacji internetowej przetwarza reguły niestandardowe przed przetworzeniem reguł w zarządzanym zestawie reguł.

Reguła składa się z warunku dopasowania, priorytetu i akcji. Obsługiwane typy akcji to ALLOW, , LOGBLOCKi REDIRECT. Można utworzyć w pełni dostosowane zasady spełniające określone wymagania dotyczące ochrony aplikacji, łącząc reguły zarządzane i niestandardowe.

Zapora aplikacji internetowej przetwarza reguły w ramach zasad w kolejności priorytetu. Priorytet to unikatowa liczba całkowita, która definiuje kolejność reguł przetwarzania. Mniejsze liczby mają wyższy priorytet, a zapora aplikacji internetowej ocenia te reguły przed regułami o większej wartości. Gdy zapora aplikacji internetowej dopasuje regułę do żądania, stosuje odpowiednią akcję zdefiniowaną przez regułę do żądania. Po przetworzeniu takiego dopasowania zapory aplikacji internetowej reguły o niższych priorytetach nie są przetwarzane dalej.

Aplikacja internetowa hostowana w usłudze Azure Content Delivery Network może mieć skojarzone tylko jedno zasady zapory aplikacji internetowej. Można jednak mieć punkt końcowy usługi CDN bez skojarzonych z nim zasad zapory aplikacji internetowej. Jeśli istnieją zasady zapory aplikacji internetowej, są replikowane do wszystkich lokalizacji brzegowych w celu zapewnienia spójnych zasad zabezpieczeń na całym świecie.

Reguły niestandardowe

Reguły niestandardowe mogą obejmować:

  • Reguły dopasowywania: można skonfigurować następujące niestandardowe reguły dopasowania:

    • Lista dozwolonych adresów IP i lista zablokowanych: możesz kontrolować dostęp do aplikacji internetowych na podstawie listy adresów IP klienta lub zakresów adresów IP. Obsługiwane są zarówno typy adresów IPv4, jak i IPv6.

      Reguły listy adresów IP używają RemoteAddress adresu IP zawartego w nagłówku X-Forwarded-For żądania, a nie wartości używanej SocketAddress przez zaporę aplikacji internetowej. Listy adresów IP można skonfigurować tak, aby blokowały lub zezwalały na żądania, w których RemoteAddress adres IP odpowiada adresowi IP na liście.

      Jeśli istnieje wymóg blokowania żądań na źródłowym adresie IP używanym przez zaporę aplikacji internetowej (na przykład adres serwera proxy, jeśli użytkownik znajduje się za serwerem proxy), należy użyć warstwy Azure Front Door Standard lub Premium. Aby uzyskać więcej informacji, zobacz Konfigurowanie reguły ograniczeń adresów IP przy użyciu zapory aplikacji internetowej dla usługi Azure Front Door.

    • Geograficzna kontrola dostępu: możesz kontrolować dostęp do aplikacji internetowych na podstawie kodu kraju skojarzonego z adresem IP klienta.

    • Kontrola dostępu oparta na parametrach HTTP: reguły można opierać na dopasowaniach ciągów w parametrach żądania HTTP lub HTTPS. Przykłady obejmują ciągi zapytania, POST argumenty, identyfikator URI żądania, nagłówek żądania i treść żądania.

    • Kontrola dostępu oparta na metodzie żądania: reguły można opierać na metodzie żądania HTTP żądania. Przykłady obejmują GET, PUTi HEAD.

    • Ograniczenie rozmiaru: reguły można opierać na długości określonych części żądania, takich jak ciąg zapytania, identyfikator URI lub treść żądania.

  • Reguły kontroli szybkości: te reguły ograniczają nietypowo wysoki ruch z dowolnego adresu IP klienta.

    Można skonfigurować próg liczby żądań internetowych dozwolonych z adresu IP klienta w ciągu jednej minuty. Ta reguła różni się od reguły niestandardowej opartej na liście adresów IP, która zezwala na wszystkie żądania lub blokuje wszystkie żądania z adresu IP klienta.

    Limity szybkości można łączyć z bardziej zgodnymi warunkami, takimi jak dopasowania parametrów HTTP lub HTTPS, w celu uzyskania szczegółowej kontroli szybkości.

Zestawy reguł zarządzanych przez platformę Azure

Zestawy reguł zarządzanych przez platformę Azure umożliwiają wdrażanie ochrony przed typowym zestawem zagrożeń bezpieczeństwa. Ponieważ platforma Azure zarządza tymi zestawami reguł, reguły są aktualizowane zgodnie z potrzebami w celu ochrony przed nowymi sygnaturami ataków. Domyślny zestaw reguł zarządzanych przez platformę Azure zawiera reguły dla następujących kategorii zagrożeń:

  • Skrypty między witrynami
  • Ataki w języku Java
  • Włączenie plików lokalnych
  • Ataki iniekcyjne w języku PHP
  • Zdalne wykonywanie poleceń
  • Włączenie plików zdalnych
  • Fiksacja sesji
  • Ochrona przed atakami polegającymi na iniekcji SQL
  • Atakujący protokoły

Numer wersji domyślnego zestawu reguł zwiększa się po dodaniu nowych podpisów ataków do zestawu reguł.

Domyślny zestaw reguł jest domyślnie włączony w trybie wykrywania w zasadach zapory aplikacji internetowej. Możesz wyłączyć lub włączyć poszczególne reguły w domyślnym zestawie reguł, aby spełnić wymagania aplikacji. Można również ustawić określone akcje (ALLOW, BLOCK, LOGi REDIRECT) na regułę. Domyślną akcją zarządzanego domyślnego zestawu reguł jest BLOCK.

Reguły niestandardowe są zawsze stosowane, zanim zapora aplikacji internetowej oceni reguły w domyślnym zestawie reguł. Jeśli żądanie pasuje do reguły niestandardowej, zapora aplikacji internetowej stosuje odpowiednią akcję reguły. Żądanie jest zablokowane lub przekazywane do zaplecza. Żadne inne reguły niestandardowe lub reguły w domyślnym zestawie reguł nie są przetwarzane. Możesz również usunąć domyślny zestaw reguł z zasad zapory aplikacji internetowej.

Tryby zapory aplikacji internetowej

Zasady zapory aplikacji internetowej można skonfigurować do uruchamiania w następujących dwóch trybach:

  • Tryb wykrywania: Zapora aplikacji internetowej nie podejmuje żadnych innych akcji niż monitorowanie i rejestrowanie żądania oraz dopasowanej reguły zapory aplikacji internetowej do dzienników zapory aplikacji internetowej. Możesz włączyć diagnostykę rejestrowania dla usługi Azure Content Delivery Network. W przypadku korzystania z witryny Azure Portal przejdź do sekcji Diagnostyka .
  • Tryb zapobiegania: Zapora aplikacji internetowej wykonuje określoną akcję, jeśli żądanie pasuje do reguły. Jeśli znajdzie dopasowanie, nie oceni żadnych dalszych reguł o niższym priorytcie. Wszystkie dopasowane żądania są również rejestrowane w dziennikach zapory aplikacji internetowej.

Akcje zapory aplikacji internetowej

Możesz wybrać jedną z następujących akcji, gdy żądanie pasuje do warunków reguły:

  • ALLOW: żądanie przechodzi przez zaporę aplikacji internetowej i jest przekazywane do zaplecza. Żadne dalsze reguły o niższym priorytcie nie mogą blokować tego żądania.
  • BLOCK: Żądanie jest zablokowane. Zapora aplikacji internetowej wysyła odpowiedź do klienta bez przekazywania żądania do zaplecza.
  • LOG: Żądanie jest rejestrowane w dziennikach zapory aplikacji internetowej. Zapora aplikacji internetowej nadal ocenia reguły o niższym priorytcie.
  • REDIRECT: Zapora aplikacji internetowej przekierowuje żądanie do określonego identyfikatora URI. Określony identyfikator URI jest ustawieniem na poziomie zasad. Po skonfigurowaniu ustawienia wszystkie żądania zgodne z akcją są wysyłane do tego identyfikatora REDIRECT URI.

Konfigurowanie

Wszystkie typy reguł zapory aplikacji internetowej można konfigurować i wdrażać przy użyciu witryny Azure Portal, interfejsów API REST, szablonów usługi Azure Resource Manager i programu Azure PowerShell.

Monitorowanie

Monitorowanie usługi Azure Web Application Firewall w usłudze Azure Content Delivery Network jest zintegrowane z usługą Azure Monitor, aby ułatwić śledzenie alertów i monitorowanie trendów ruchu.

Treści powiązane

  • Last updated on