استخدام قواعد مخصصة للتطابق الجغرافي ل Azure WAF لتحسين أمان الشبكة

جدار حماية تطبيقات الويب (WAF) هو أداة مهمة تساعد على حماية تطبيقات الويب من الهجمات الضارة. يمكنه تصفية حركة مرور الويب ومراقبتها وإيقافها باستخدام كل من القواعد المحددة مسبقا والمخصصة. يمكنك إنشاء القاعدة الخاصة بك التي يتحقق WAF من كل طلب يحصل عليه. القواعد المخصصة لها أولوية أعلى من القواعد المدارة ويتم التحقق منها أولا.

واحدة من أقوى ميزات Azure Web Application Firewall هي قواعد مخصصة للتطابق الجغرافي. تتيح لك هذه القواعد مطابقة طلبات الويب بالموقع الجغرافي للمكان الذي تأتي منه. قد ترغب في إيقاف الطلبات من أماكن معينة معروفة بالنشاط الضار، أو قد ترغب في السماح بطلبات من أماكن مهمة لعملك. يمكن أن تساعدك قواعد Geomatch المخصصة أيضا على اتباع سيادة البيانات وقوانين الخصوصية من خلال الحد من الوصول إلى تطبيقات الويب الخاصة بك استنادا إلى موقع الأشخاص الذين يستخدمونها.

استخدم معلمة الأولوية بحكمة عند استخدام قواعد مخصصة للتطابق الجغرافي لتجنب المعالجة أو التعارضات غير الضرورية. يقيم Azure WAF القواعد بالترتيب الذي تحدده معلمة الأولوية، وهي قيمة رقمية تتراوح بين 1 و100، مع قيم أقل تشير إلى أولوية أعلى. يجب أن تكون الأولوية فريدة عبر جميع القواعد المخصصة. تعيين أولوية أعلى للقواعد الهامة أو المحددة لأمان تطبيق الويب الخاص بك وأولوية أقل للقواعد الأقل أهمية أو عامة. يضمن القيام بذلك تطبيق WAF للإجراءات الأكثر ملاءمة على حركة مرور الويب الخاصة بك. على سبيل المثال، السيناريو الذي تحدد فيه مسار URI صريح هو الأكثر تحديدا ويجب أن يكون له قاعدة أولوية أعلى من الأنواع الأخرى من الأنماط. يحمي الحصول على الأولوية القصوى مسارا هاما على التطبيق مع السماح بتقييم المزيد من نسبة استخدام الشبكة العامة عبر القواعد المخصصة الأخرى أو مجموعات القواعد المدارة.

اختبر دائما القواعد الخاصة بك قبل تطبيقها على بيئة الإنتاج وراقب أدائها وتأثيرها بانتظام. باتباع أفضل الممارسات هذه، يمكنك تحسين أمان تطبيق الويب الخاص بك باستخدام قوة القواعد المخصصة للمطابقة الجغرافية.

تقدم هذه المقالة قواعد المطابقة الجغرافية المخصصة ل Azure WAF وتوضح لك كيفية إنشائها وإدارتها باستخدام مدخل Microsoft Azure وBicep وAzure PowerShell.

أنماط قواعد Geomatch المخصصة

تمكنك قواعد Geomatch المخصصة من تحقيق أهداف أمان متنوعة، مثل حظر الطلبات من المناطق عالية المخاطر والسماح بالطلبات من مواقع موثوق بها. إنها فعالة في التخفيف من هجمات رفض الخدمة الموزعة (DDoS) ، والتي تسعى إلى إغراق تطبيق الويب الخاص بك بالعديد من الطلبات من مصادر مختلفة. باستخدام قواعد التطابق الجغرافي المخصصة، يمكنك تحديد المناطق التي تقوم بإنشاء أكبر عدد من حركات مرور DDoS وحظرها على الفور، مع الاستمرار في منح حق الوصول للمستخدمين الشرعيين. في هذه المقالة، يمكنك التعرف على أنماط القواعد المخصصة المختلفة التي يمكنك استخدامها لتحسين Azure WAF باستخدام قواعد مخصصة للتطابق الجغرافي.

السيناريو 1 - حظر حركة المرور من جميع البلدان أو المناطق باستثناء "x"

تكون قواعد Geomatch المخصصة مفيدة عندما تهدف إلى حظر حركة المرور من جميع البلدان أو المناطق، باستثناء واحدة. على سبيل المثال، إذا كان تطبيق الويب الخاص بك يخدم المستخدمين حصريا في الولايات المتحدة، يمكنك صياغة قاعدة مخصصة للتطابق الجغرافي تعوق جميع الطلبات التي لا تنشأ من الولايات المتحدة. تقلل هذه الاستراتيجية بشكل فعال من سطح هجوم تطبيق الويب الخاص بك وتمنع الوصول غير المصرح به من مناطق أخرى. تستخدم هذه التقنية المحددة شرطا نفي لتسهيل نمط حركة المرور هذا. لإنشاء قاعدة مخصصة للمطابقة الجغرافية تعيق حركة المرور من جميع البلدان أو المناطق باستثناء الولايات المتحدة، راجع أمثلة المدخل أو PowerShell أو Bicep التالية:

بوابة

إشعار

في Azure Front Door WAF، يمكنك استخدامه SocketAddr كمتغير مطابقة وليس RemoteAddr. RemoteAddr المتغير هو عنوان IP للعميل الأصلي الذي يتم إرساله عادة عبر X-Forwarded-For عنوان الطلب. SocketAddr المتغير هو عنوان IP المصدر الذي يراه WAF.

PowerShell

$RGname = "rg-waf "
$policyName = "waf-pol"
$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $true
$rule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRule1 -Priority 10 -RuleType MatchRule -MatchCondition $condition -Action Block
$policy = Get-AzApplicationGatewayFirewallPolicy -Name $policyName -ResourceGroupName $RGname
$policy.CustomRules.Add($rule)
Set-AzApplicationGatewayFirewallPolicy -InputObject $policy

$RGname = "rg-waf"
$policyName = "wafafdpol"
$matchCondition = New-AzFrontDoorWafMatchConditionObject -MatchVariable SocketAddr -OperatorProperty GeoMatch -MatchValue "US" -NegateCondition $true
$customRuleObject = New-AzFrontDoorWafCustomRuleObject -Name "GeoRule1" -RuleType MatchRule -MatchCondition $matchCondition -Action Block -Priority 10
$afdWAFPolicy= Get-AzFrontDoorWafPolicy -Name $policyName -ResourceGroupName $RGname
Update-AzFrontDoorWafPolicy -InputObject $afdWAFPolicy -Customrule $customRuleObject

العضلة ذات الرأسين

properties: {
    customRules: [
      {
        name: 'GeoRule1'
        priority: 10
        ruleType: 'MatchRule'
        action: 'Block'
        matchConditions: [
          {
            matchVariables: [
              {
                variableName: 'RemoteAddr'
              }
            ]
            operator: 'GeoMatch'
            negationCondition: true
            matchValues: [
              'US'
            ]
            transforms: []
          }
        ]
        state: 'Enabled'
      }

properties: {
    customRules: {
      rules: [
        {
          name: 'GeoRule1'
          enabledState: 'Enabled'
          priority: 10
          ruleType: 'MatchRule'
          matchConditions: [
            {
              matchVariable: 'SocketAddr'
              operator: 'GeoMatch'
              negateCondition: true
              matchValue: [
                'US'
              ]
              transforms: []
            }
          ]
          action: 'Block'
        }

السيناريو 2 - حظر حركة المرور من جميع البلدان أو المناطق باستثناء "x" و"y" التي تستهدف URI "foo" أو "bar"

ضع في اعتبارك سيناريو تحتاج فيه إلى استخدام قواعد مخصصة للتطابق الجغرافي لمنع حركة المرور من جميع البلدان أو المناطق، باستثناء اثنتين أو أكثر من القواعد المحددة، التي تستهدف URI محددا. لنفترض أن تطبيق الويب الخاص بك يحتوي على مسارات محددة ل URI مخصصة فقط للمستخدمين في الولايات المتحدة وكندا. في هذه الحالة، يمكنك إنشاء قاعدة مخصصة للتطابق الجغرافي تحظر جميع الطلبات التي لا تنشأ من هذه البلدان أو المناطق.

يعالج هذا النمط حمولات الطلبات من الولايات المتحدة وكندا من خلال مجموعات القواعد المدارة، واصطياد أي هجمات ضارة، مع حظر الطلبات من جميع البلدان أو المناطق الأخرى. يضمن هذا النهج أن جمهورك المستهدف فقط يمكنه الوصول إلى تطبيق الويب الخاص بك، وتجنب نسبة استخدام الشبكة غير المرغوب فيها من مناطق أخرى.

لتقليل الإيجابيات الخاطئة المحتملة، قم بتضمين رمز البلد ZZ في القائمة لالتقاط عناوين IP التي لم يتم تعيينها بعد إلى بلد أو منطقة في مجموعة بيانات Azure. تستخدم هذه التقنية شرطا نفي لنوع الموقع الجغرافي وشرط غير نفي لمطابقة URI.

لإنشاء قاعدة مخصصة للمطابقة الجغرافية تحظر نسبة استخدام الشبكة من جميع البلدان أو المناطق باستثناء الولايات المتحدة وكندا إلى عنوان URI محدد، ارجع إلى أمثلة المدخل وPowerShell وBicep.

بوابة

PowerShell

$RGname = "rg-waf "
$policyName = "waf-pol"
$variable1a = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr
$condition1a = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable1a -Operator GeoMatch -MatchValue @(“US”, “CA”) -NegationCondition $true
$variable1b = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri
$condition1b = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable1b -Operator Contains -MatchValue @(“/foo”, “/bar”) -NegationCondition $false
$rule1 = New-AzApplicationGatewayFirewallCustomRule -Name GeoRule2 -Priority 11 -RuleType MatchRule -MatchCondition $condition1a, $condition1b -Action Block
$policy = Get-AzApplicationGatewayFirewallPolicy -Name $policyName -ResourceGroupName $RGname
$policy.CustomRules.Add($rule1)
Set-AzApplicationGatewayFirewallPolicy -InputObject $policy

$RGname = "rg-waf"
$policyName = "wafafdpol"
$matchCondition1a = New-AzFrontDoorWafMatchConditionObject -MatchVariable SocketAddr -OperatorProperty GeoMatch -MatchValue @(“US”, "CA") -NegateCondition $true
$matchCondition1b = New-AzFrontDoorWafMatchConditionObject -MatchVariable RequestUri -OperatorProperty Contains -MatchValue @(“/foo”, “/bar”) -NegateCondition $false
$customRuleObject1 = New-AzFrontDoorWafCustomRuleObject -Name "GeoRule2" -RuleType MatchRule -MatchCondition $matchCondition1a, $matchCondition1b -Action Block -Priority 11
$afdWAFPolicy= Get-AzFrontDoorWafPolicy -Name $policyName -ResourceGroupName $RGname
Update-AzFrontDoorWafPolicy -InputObject $afdWAFPolicy -Customrule $customRuleObject1

العضلة ذات الرأسين

properties: {
    customRules: [
      {
        name: 'GeoRule2'
        priority: 11
        ruleType: 'MatchRule'
        action: 'Block'
        matchConditions: [
          {
            matchVariables: [
              {
                variableName: 'RemoteAddr'
              }
            ]
            operator: 'GeoMatch'
            negationCondition: true
            matchValues: [
              'US'
              'CA'
            ]
            transforms: []
          }
          {
            matchVariables: [
              {
                variableName: 'RequestUri'
              }
            ]
            operator: 'Contains'
            negationCondition: false
            matchValues: [
              '/foo'
              '/bar'
            ]
            transforms: []
          }
        ]
        state: 'Enabled'
      }

properties: {
    customRules: {
      rules: [
        {
          name: 'GeoRule2'
          enabledState: 'Enabled'
          priority: 11
          ruleType: 'MatchRule'
          matchConditions: [
            {
              matchVariable: 'SocketAddr'
              operator: 'GeoMatch'
              negateCondition: true
              matchValue: [
                'US'
                'CA'
              ]
              transforms: []
            }
            {
              matchVariable: 'RequestUri'
              operator: 'Contains'
              negateCondition: false
              matchValue: [
                '/foo'
                '/bar'
              ]
              transforms: []
            }
          ]
          action: 'Block'
        }

السيناريو 3 - حظر حركة المرور على وجه التحديد من البلد أو المنطقة "x"

يمكنك استخدام قواعد مخصصة للتطابق الجغرافي لمنع حركة المرور من بلدان أو مناطق معينة. على سبيل المثال، إذا تلقى تطبيق الويب الخاص بك العديد من الطلبات الضارة من البلد أو المنطقة "x"، قم بإنشاء قاعدة مخصصة للتطابق الجغرافي لحظر جميع الطلبات من هذا البلد أو المنطقة. وهذا يحمي تطبيق الويب الخاص بك من الهجمات المحتملة ويقلل من تحميل الموارد. طبق هذا النمط لمنع العديد من البلدان أو المناطق الضارة أو المعادية. تتطلب هذه التقنية شرط مطابقة لنمط حركة المرور. لحظر نسبة استخدام الشبكة من البلد أو المنطقة "x"، راجع أمثلة المدخل وPowerShell وBicep التالية.

بوابة

PowerShell

$RGname = "rg-waf "
$policyName = "waf-pol"
$variable2 = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr
$condition2 = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable2 -Operator GeoMatch -MatchValue "US" -NegationCondition $false
$rule2 = New-AzApplicationGatewayFirewallCustomRule -Name GeoRule3 -Priority 12 -RuleType MatchRule -MatchCondition $condition2 -Action Block
$policy = Get-AzApplicationGatewayFirewallPolicy -Name $policyName -ResourceGroupName $RGname
$policy.CustomRules.Add($rule2)
Set-AzApplicationGatewayFirewallPolicy -InputObject $policy

$RGname = "rg-waf"
$policyName = "wafafdpol"
$matchCondition2 = New-AzFrontDoorWafMatchConditionObject -MatchVariable SocketAddr -OperatorProperty GeoMatch -MatchValue "US" -NegateCondition $false
$customRuleObject2 = New-AzFrontDoorWafCustomRuleObject -Name "GeoRule3" -RuleType MatchRule -MatchCondition $matchCondition2 -Action Block -Priority 12
$afdWAFPolicy= Get-AzFrontDoorWafPolicy -Name $policyName -ResourceGroupName $RGname
Update-AzFrontDoorWafPolicy -InputObject $afdWAFPolicy -Customrule $customRuleObject2

العضلة ذات الرأسين

properties: {
    customRules: [
      {
        name: 'GeoRule3'
        priority: 12
        ruleType: 'MatchRule'
        action: 'Block'
        matchConditions: [
          {
            matchVariables: [
              {
                variableName: 'RemoteAddr'
              }
            ]
            operator: 'GeoMatch'
            negationCondition: false
            matchValues: [
              'US'
            ]
            transforms: []
          }
        ]
        state: 'Enabled'
      }

properties: {
    customRules: {
      rules: [
        {
          name: 'GeoRule3'
          enabledState: 'Enabled'
          priority: 12
          ruleType: 'MatchRule'
          matchConditions: [
            {
              matchVariable: 'SocketAddr'
              operator: 'GeoMatch'
              negateCondition: false
              matchValue: [
                'US'
              ]
              transforms: []
            }
          ]
          action: 'Block'
        }

أنماط مضادة للقاعدة المخصصة ل Geomatch

تجنب الأنماط المضادة عند استخدام قواعد مخصصة للتطابق الجغرافي، مثل تعيين إجراء القاعدة المخصصة إلى allow بدلا من block. يمكن أن يكون لهذا عواقب غير مقصودة، مثل السماح لنسبة استخدام الشبكة بتجاوز WAF وربما تعريض تطبيق الويب الخاص بك لتهديدات أخرى.

بدلا من استخدام allow إجراء، استخدم block إجراء بشرط الرفض، كما هو موضح في الأنماط السابقة. وهذا يضمن السماح فقط بنسبة استخدام الشبكة من البلدان أو المناطق المطلوبة ويحظر WAF جميع حركة المرور الأخرى.

السيناريو 4 - السماح بنسبة استخدام الشبكة من البلد أو المنطقة "x"

تجنب تعيين قاعدة التطابق الجغرافي المخصصة للسماح بنسبة استخدام الشبكة من بلد أو منطقة معينة. على سبيل المثال، إذا كنت تريد السماح بنسبة استخدام الشبكة من الولايات المتحدة بسبب قاعدة عملاء كبيرة، فقد يبدو إنشاء قاعدة مخصصة مع الإجراء allow والقيمة United States مثل الحل. ومع ذلك، تسمح هذه القاعدة لجميع حركات المرور من الولايات المتحدة، بغض النظر عما إذا كانت تحتوي على حمولة ضارة أم لا، حيث allow يتجاوز الإجراء معالجة القواعد الإضافية لقواعد القواعد المدارة. بالإضافة إلى ذلك، لا يزال WAF يعالج حركة المرور من جميع البلدان أو المناطق الأخرى، مما يستهلك الموارد. يعرض هذا تطبيق الويب الخاص بك إلى طلبات ضارة من الولايات المتحدة التي كان WAF سيحظرها بخلاف ذلك.

السيناريو 5 - السماح بنسبة استخدام الشبكة من جميع المقاطعات باستثناء "x"

تجنب تعيين إجراء القاعدة إلى allow وتحديد قائمة بالبلدان أو المناطق لاستبعادها عند استخدام قواعد مخصصة للتطابق الجغرافي. على سبيل المثال، إذا كنت تريد السماح بنسبة استخدام الشبكة من جميع البلدان أو المناطق باستثناء الولايات المتحدة، حيث تشك في وجود نشاط ضار، فقد يكون لهذا النهج عواقب غير مقصودة. قد يسمح بنسبة استخدام الشبكة من البلدان/المناطق أو البلدان/المناطق التي لم يتم التحقق منها أو غير الآمنة مع معايير أمان منخفضة أو بدونها، مما يعرض تطبيق الويب الخاص بك إلى نقاط ضعف أو هجمات محتملة. allow يشير استخدام الإجراء لجميع البلدان أو المناطق باستثناء الولايات المتحدة إلى WAF لإيقاف معالجة حمولات الطلب مقابل مجموعات القواعد المدارة. يتوقف تقييم جميع القواعد بمجرد معالجة القاعدة المخصصة معها allow ، مما يعرض التطبيق لهجمات ضارة غير مرغوب فيها.

بدلا من ذلك، استخدم إجراء قاعدة أكثر تقييدا وتحديدا، مثل الحظر، وحدد قائمة بالبلدان أو المناطق للسماح بشرط نفي. وهذا يضمن أن نسبة استخدام الشبكة من المصادر الموثوق بها والمتحقق منها فقط يمكنها الوصول إلى تطبيق الويب الخاص بك أثناء حظر أي حركة مرور مريبة أو غير مرغوب فيها.

المحتويات ذات الصلة

• قواعد Geomatch المخصصة
• إنشاء واستخدام قواعد مخصصة لـ Web Application Firewall v2 على Application Gateway