تنفيذ جدار حماية تطبيق الويب على الواجهة الأمامية لـ Azure
يمكنك استخدام جدار حماية تطبيق الويب (WAF) لتوفير حماية مركزية لتطبيقات الويب من الاستغلالات والثغرات الأمنية الشائعة. يتزايد استهداف تطبيقات الويب من خلال الهجمات الضارة التي تستغل الثغرات الأمنية المعروفة. حقن SQL والبرمجة عِبر المواقع هي من بين الهجمات الأكثر شيوعًا.
يعد منع مثل هذه الهجمات في كود التطبيق أمرًا صعبًا. يمكن أن تتطلب صيانة صارمة وتصحيح ورصد في طبقات متعددة من مُخطط التطبيق. يساعد جدار حماية تطبيقات الويب المركزي على تبسيط إدارة الأمان. كما يمنح WAF مسؤولي التطبيقات ضمانًا أفضل للحماية من التهديدات والتدخلات.
تستطيع حلول جدار حماية تطبيق الويب التعامل مع تهديدات الحماية بشكل أسرع من خلال التصحيح المركزي للثغرات المعروفة، بدلاً من تأمين كل تطبيق ويب بشكل فردي.
أوضاع نهج جدار حماية تطبيق الويب
عند إنشاء نهج جدار حماية تطبيق ويب (WAF) يكون نهج WAF في وضع الكشف بشكل افتراضي. في وضع الكشف، لا يمنع WAF أي طلبات، بدلًا من ذلك، يتم تسجيل طلبات مطابقة قواعد WAF في سجلات WAF. ليبدأ جدار حماية تطبيقات الويب بالعمل فعلياً، يمكنك تغيير إعدادات الوضع من Detection إلى Prevention. في وضع المنع يتم حظر الطلبات التي تتطابق مع القواعد المحددة في مجموعة القواعد الافتراضية (DRS) ويتم تسجيلها في سجلات جدار حماية تطبيق الويب.
مجموعة القواعد الافتراضية لجدار حماية تطبيقات الويب وللقواعد
جدار حماية تطبيق الويب (WAF) على الواجهة الأمامية لـ Azure يحمي تطبيقات الويب من الثغرات الأمنية وعمليات الاستغلال الشائعة. توفر مجموعات القواعد المدارة من Azure طريقة سهلة لتوزيع الحماية ضد مجموعة مشتركة من تهديدات الأمان. نظرًا لأن مجموعات القواعد هذه تُدار بواسطة Azure، يتم تحديث القواعد حسب الحاجة للحماية من توقيعات الهجوم الجديدة.
القواعد المدارة
تتضمن مجموعة القواعد الافتراضية المدارة من Azure قواعد ضد فئات التهديد التالية:
- البرمجة النصية للمواقع المشتركة
- هجمات Java
- تضمين الملف المحلي
- هجوم عن طريق الحقن بـ PHP
- تنفيذ الأوامر عن بعد
- تضمين الملف البعيد
- معالجة الجلسة
- حماية حقن SQL
- هجمات البروتوكول
يتم تمكين مجموعة القواعد الافتراضية المدارة من Azure بشكل افتراضي. الإصدار الافتراضي الحالي هو DefaultRuleSet_2.1. تتوفر مجموعات قواعد أخرى في مربع القائمة المنسدلة.
لتعطيل قاعدة فردية، حدد خانة الاختيار أمام رقم القاعدة واختر Disable في أعلى الصفحة. لتغيير أنواع الإجراءات للقواعد الفردية ضمن مجموعة القواعد، حدد خانة الاختيار أمام رقم القاعدة، ثم اختر Change action في أعلى الصفحة.
قواعد مخصصة
يسمح لك Azure WAF مع الواجهة الأمامية بالتحكم في الوصول إلى تطبيقات الويب الخاصة بك استنادًا إلى الشروط التي تحددها. تتكون قاعدة WAF المُخصصة من رقم أولوية ونوع قاعدة وشروط مطابقة وإجراء. هناك نوعان من القواعد المُخصصة: قواعد المطابقة وقواعد حد السعر. تتحكم قاعدة المطابقة في الوصول استنادًا إلى مجموعة من الشروط المطابقة بينما تتحكم قاعدة حد السعر في الوصول استنادًا إلى شروط المطابقة ومعدلات الطلبات الواردة. يمكنك تعطيل قاعدة مُخصصة لمنع تقييمها، ولكن مع الاحتفاظ بالتكوين.
عند إنشاء نهج WAF، يمكنك إنشاء قاعدة مُخصصة عن طريق اختيار Add custom rule ضمن قسم Custom rules. ما يؤدي إلى تشغيل صفحة تكوين قاعدة مُخصصة.
يوضح مثال لقطة الشاشة أدناه تكوين قاعدة مُخصصة لحظر طلب إذا كانت سلسلة الاستعلام تحتوي على blockme.
إنشاء جدار حماية تطبيق الويب على الواجهة الأمامية لـ Azure
يصف هذا القسم كيفية إنشاء نهج أساسي لجدار حماية تطبيق ويب Azure (WAF) وتطبيقه على ملف تعريف في الواجهة الأمامية لـ Azure.
المراحل الرئيسية لإنشاء نهج WAF على الواجهة الأمامية لـ Azure باستخدام مدخل Microsoft Azure هي:
إنشاء نهج جدار حماية تطبيق ويب
هذا هو المكان الذي تقوم فيه بإنشاء نهج WAF أساسي مع مجموعة القواعد الافتراضية المدارة (DRS).
إقران نهج WAF بملف تعريف Front Door
هذا هو المكان الذي تقوم فيه بربط نهج WAF الذي تم إنشاؤه في المرحلة 1 بملف تعريف Front Door. يمكن أن يتم هذا الارتباط أثناء إنشاء نهج WAF، أو يمكن القيام به على نهج WAF تم إنشاؤها مسبقًا. تُحدد أثناء الاقتران ملف تعريف الواجهة الأمامية والمجال (المجالات) داخل ملف تعريف الواجهة الأمامية الذي تريد أن يتم تطبيق نهج WAF عليه. أثناء هذه المرحلة، إذا كان المجال مقترنًا بنهج WAF، يظهر لك باللون الرمادي. يجب أولًا إزالة المجال من النهج المُقترن ثم إعادة إقران المجال إلى نهج WAF جديد.
تكوين إعدادات وقواعد نهج WAF
هذه مرحلة اختيارية، حيث يمكنك تكوين إعدادات النهج مثل الوضع (الوقاية أو الكشف) وتكوين القواعد المدارة والقواعد المخصصة.
لعرض الخطوات التفصيلية لكافة هذه المهام، راجع البرنامج التعليمي: إنشاء نهج جدار حماية تطبيق ويب على الواجهة الأمامية لـ Azure باستخدام مدخل Microsoft Azure.