Question 1

ماذا يُقصد بخدمة Azure WAF؟

Accepted Answer

Azure WAF عبارة عن جدار حماية لتطبيق الويب يساعد على حماية تطبيقات الويب من التهديدات الشائعة مثل حقن SQL والبرمجة النصية للمواقع المشتركة وغيرها من الثغرات الأمنية للويب. يمكنك تحديد سياسة WAF المكونة من مجموعة من القواعد المخصصة والمُدارة للتحكم في الوصول إلى تطبيقات الويب.

يمكن تطبيق سياسة Azure WAF على تطبيقات الويب المستضافة على Application Gateway أو Azure Front Doors.

Question 2

ما هو WAF في Azure Front Door؟

Accepted Answer

Azure Front Door هو تطبيق قابل للتوسعة للغاية، وموزع عالميًا وشبكة تسليم محتوى. عند دمج Azure WAF مع الواجهة الأمامية، فإنه يوقف هجمات قطع الخدمة التطبيقات المستهدفة على حافة شبكة Azure، بالقرب من مصادر الهجوم قبل دخولها إلى شبكتك الافتراضية، ما يوفر الحماية دون التنازل عن مستوى االأداء.

Question 3

هل يعمل Azure WAF على دعم HTTPS؟

Accepted Answer

تقدم الواجهة الأمامية التفريغ الخاص بروتوكول أمان طبقة النقل. تم دمج WAF أصلاً مع الواجهة الأمامية ويمكنه فحص الطلب بعد فك تشفيره.

Question 4

هل يعمل Azure WAF على دعم IPv6؟

Accepted Answer

نعم. يمكنك تكوين تقييد بروتوكول الإنترنت لـ IPv4 وIPv6.

Question 5

ما مدى تحديث مجموعات القواعد المُدارة؟

Accepted Answer

نحن نبذل قصارى جهدنا لمواكبة طبيعة المخاطر المتغيرة. بمجرد تحديث قاعدة جديدة، تتم إضافتها إلى مجموعة القواعد الافتراضية برقم إصدار جديد.

Question 6

ما هو وقت النشر في حال إجراء تغيير على سياسة WAF؟

Accepted Answer

تكتمل معظم عمليات توزيع نهج WAF في أقل من 20 دقيقة. يمكنك توقع دخول النهج حيز التنفيذ بمجرد اكتمال التحديث عبر جميع مواقع التخزين المؤقت على مستوى العالم.

Question 7

هل يمكن أن تختلف أنواع نهج WAF باختلاف المناطق؟

Accepted Answer

عند التكامل مع الواجهة الأمامية، يكون WAF هو مورد عالمي. ينطبق نفس التكوين على جميع مواقع الواجهات الأمامية.

Question 8

كيف يمكنني تقييد الوصول إلى الطرف الخلفي الخاص بي ليكون من الواجهة الأمامية فقط؟

Accepted Answer

يمكنك تكوين قائمة التحكم في الوصول إلى IP في الواجهة الخلفية للسماح لنطاقات عناوين IP الصادرة ل Front Door فقط باستخدام علامة خدمة Azure Front Door ورفض أي وصول مباشر من الإنترنت. يتم دعم علامات الخدمة لتستخدمها على شبكتك الافتراضية. بالإضافة إلى ذلك، يمكنك التحقق من أن حقل عنوان X-Forwarded-Host HTTP صالح لتطبيق الويب.

Question 9

ما هي خيارات Azure WAF التي يجب أن أختارها؟

Accepted Answer

هناك خياران عند تطبيق نهج WAF في Azure. WAF مع Azure Front Door هو حل أمان للحافة موزع عالميًا. WAF مع بوابة التطبيق هو حل إقليمي مخصص. ننصحك باختيار حل بناءً على الأداء العام ومتطلبات الأمان. لمزيد من المعلومات، راجع موازنة التحميل مع مجموعة تسليم تطبيق Azure.

Question 10

ما هو النهج الموصى به لتمكين WAF على الواجهة الأمامية؟

Accepted Answer

عند تمكين WAF على تطبيق موجود، من الشائع أن يكون لديك اكتشافات إيجابية خاطئة حيث تكشف قواعد WAF عن نسبة استخدام الشبكة الشرعية باعتبارها أمر خطير. لتقليل مخاطر التأثير على المستخدمين، نوصي بإجراء العملية التالية:

عليك تمكين WAF في وضع الكشف للتأكد من أن WAF لا يمنع الطلبات أثناء العمل خلال هذه العملية. يوصى بهذه الخطوة لأغراض الاختبار على WAF.

هام

تصف هذه العملية كيفية تمكين WAF على حل جديد أو موجود عندما تكون أولويتك هي تقليل الإزعاج لمستخدمي التطبيق. إذا كنت تتعرض لهجوم أو خطر وشيك، قد ترغب بدلاً من ذلك في نشر WAF في وضع الوقاية على الفور، واستخدام عملية الضبط لمراقبة وضبط WAF مع مرور الوقت. من المحتمل أن يتسبب هذا في حظر بعض نسبة استخدام الشبكة الشرعية الخاصة بك، ولهذا السبب نوصي بإجراء ذلك فقط عندما تتعرض إلى خطر.
اتبع الإرشادات الخاصة بضبط WAF. تتطلب هذه العملية تمكين التسجيل التشخيصي ومراجعة السجلات بانتظام وإضافة استثناءات القواعد وعمليات التخفيف من المخاطر الأخرى.
كرر هذه العملية بأكملها، وتحقق من السجلات بانتظام، حتى تشعر بالرضا عن عدم حظر أي نسبة استخدام الشبكة الشرعية. قد تستغرق العملية بأكملها عدة أسابيع. يجب أن يظهر لك عددًا أقل من الاكتشافات الإيجابية الخاطئة بعد كل تغيير ضبط تجريه.
وأخيرًا، يمكن تمكين WAF في وضع الوقاية.
حتى بعد تشغيل WAF في التشغيل، يجب أن تستمر في مراقبة السجلات لتحديد أي اكتشافات إيجابية خاطئة أخرى. كما ستساعدك مراجعة السجلات بانتظام على تحديد أي محاولات هجوم حقيقية تم حظرها.

Question 11

هل تدعم نفس ميزات WAF في جميع المنصات المتكاملة؟

Accepted Answer

حاليا، يتم دعم قواعد ModSec CRS 3.0 و CRS 3.1 و CRS 3.2 فقط مع WAF على Application Gateway. يتم دعم تحديد المعدل وقواعد مجموعة القواعد الافتراضية المدارة من Azure فقط مع WAF على Azure Front Door.

Question 12

هل حماية الموزع لحجب الخدمة مدمجة مع الواجهة الأمامية؟

Accepted Answer

إنها موزعة عالميًا على حواف شبكة Azure، ويمكن أن تستوعب الواجهة الأمامية لـ Azure الهجمات كبيرة الحجم وعزلها جغرافيًا. يمكنك إنشاء نهج WAF مخصص لحظر هجمات http(s) التي تحتوي على توقيعات معروفة وتحديد معدلها تلقائيًا. علاوة على ذلك، يمكنك تمكين حماية شبكة DDoS على الشبكة الظاهرية حيث يتم نشر الأطراف الخلفية. يتلقى عملاء Azure DDoS Protection مزايا إضافية بما في ذلك حماية التكلفة وضمان اتفاقية مستوى الخدمة والوصول إلى خبراء من فريق الاستجابة السريعة ل DDoS للحصول على مساعدة فورية أثناء الهجوم. لمزيد من المعلومات، راجع حماية الموزع لحجب الخدمة على الواجهة الأمامية.

Question 13

لماذا يتم تمرير الطلبات الإضافية التي تتجاوز الحد الذي تم تكوينه لقاعدة تحديد السعر إلى الخادم الخلفي؟

Accepted Answer

قد لا ترى الطلبات محظورة على الفور حسب حد المعدل عند معالجة الطلبات بواسطة خوادم Front Door مختلفة. لمزيد من المعلومات، راجع تحديد المعدل وخوادم Front Door.

Question 14

ما أنواع المحتوى الذي تدعمه WAF؟

Accepted Answer

يدعم WAF للواجهة الأمامية أنواع المحتويات التالية:

DRS 2.0

القواعد المدارة
- تطبيق/json
- تطبيق/xml
- تطبيق/x-www-form-urlencoded
- متعدد الأجزاء/نموذج البيانات
قواعد مخصصة
- تطبيق/x-www-form-urlencoded
DRS 1.x

القواعد المدارة
- تطبيق/x-www-form-urlencoded
- رسالة نصية/نص عادي
قواعد مخصصة
- تطبيق/x-www-form-urlencoded

Question 15

هل يمكنني تطبيق نهج WAF للباب الأمامي على مضيفي الواجهة الأمامية في ملفات تعريف مختلفة ل Front Door Premium (AFDX) التي تنتمي إلى اشتراكات مختلفة؟

Accepted Answer

كلا، لا تستطيع ذلك. يجب أن يكون ملف تعريف AFD ونهج WAF في نفس الاشتراك.

Share via

الأسئلة المتداولة لجدار حماية تطبيقات Azure على Azure Front Door Service