Pertanyaan umum untuk Azure Web Application Firewall di Azure Front Door Service

Azure WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web Anda dari ancaman umum seperti injeksi SQL, scripting lintas situs, dan eksploitasi web lainnya. Anda dapat menentukan kebijakan WAF yang terdiri dari kombinasi aturan kustom dan terkelola untuk mengontrol akses ke aplikasi web Anda.

Kebijakan Azure WAF dapat diterapkan ke aplikasi web yang dihosting di Application Gateway atau Azure Front Doors.

Azure Front Door adalah jaringan pengiriman konten dan aplikasi yang sangat dapat diskalakan secara global. Ketika diintegrasikan dengan Front Door, Azure WAF menghentikan serangan penolakan layanan dan aplikasi yang ditargetkan di tepi jaringan Azure di dekat sumber serangan sebelum memasuki jaringan virtual Anda. Layanan ini juga menawarkan perlindungan tanpa mengorbankan performa.

Front Door menawarkan pemindahan TLS. WAF secara asli terintegrasi dengan Front Door dan dapat memeriksa permintaan setelah di-dekripsi.

Ya. Anda dapat mengonfigurasikan pembatasan IP untuk IPv4 dan IPv6.

Kami melakukan yang terbaik untuk mengikuti perubahan lanskap ancaman. Setelah aturan baru diperbarui, aturan ditambahkan ke Kumpulan Aturan Default dengan nomor versi baru.

Sebagian besar penyebaran kebijakan WAF selesai di bawah 20 menit. Anda dapat mengharapkan kebijakannya langsung berlaku di saat pembaruan telah selesai di seluruh lokasi tepi secara global.

Ketika diintegrasikan dengan Front Door, WAF menjadi sumber daya global. Konfigurasi yang sama berlaku di semua lokasi Front Door.

Anda dapat mengonfigurasi Daftar Access Control IP di back-end Anda untuk memungkinkan hanya rentang alamat IP keluar Front Door menggunakan tag layanan Azure Front Door dan menolak akses langsung dari Internet. Tag layanan didukung untuk Anda gunakan di jaringan virtual Anda. Selain itu, Anda dapat memverifikasi bahwa bidang header HTTP X-Forwarded-Host valid untuk aplikasi web Anda.

Ada dua opsi saat menerapkan kebijakan WAF di Azure. WAF dengan Azure Front Door adalah solusi keamanan tepi yang didistribusikan secara global. WAF dengan Application Gateway adalah solusi khusus regional. Kami sarankan Anda memilih solusi berdasarkan keseluruhan persyaratan performa dan keamanan Anda. Untuk informasi lebih lanjut, lihat Penyeimbangan beban dengan rangkaian pengiriman aplikasi Azure.

Ketika Anda mengaktifkan WAF pada aplikasi yang ada, biasanya ada deteksi positif palsu saat aturan WAF mendeteksi lalu lintas yang sah sebagai ancaman. Untuk mengecilkan risiko dampak kepada pengguna Anda, kami merekomendasikan proses berikut:

• Aktifkan WAF dalam modeDeteksi untuk memastikan bahwa WAF tidak memblokir permintaan saat Anda sedang mengerjakan proses ini. Langkah ini direkomendasikan untuk tujuan pengujian pada WAF.

  Penting

  Proses ini menjelaskan cara mengaktifkan WAF pada solusi baru atau yang sudah ada ketika prioritas Anda adalah meminimalkan gangguan pada pengguna aplikasi Anda. Jika Anda diserang atau ancaman yang akan segera terjadi, Anda mungkin ingin segera menyebarkan WAF dalam mode Pencegahan dan menggunakan proses penyetelan untuk memantau dan menyetel WAF dari waktu ke waktu. Hal ini mungkin akan menyebabkan pemblokiran pada beberapa lalu lintas sah. Itulah sebabnya kami hanya merekomendasikan melakukan ini ketika Anda berada di bawah ancaman.

• Ikuti panduan kami untuk menyesuaikan WAF. Proses ini mengharuskan Anda mengaktifkan pencatatan diagnostik, meninjau log secara teratur, dan menambahkan pengecualian aturan dan upaya mitigasi lainnya.
• Ulangi seluruh proses ini, periksa log secara teratur, sampai Anda puas bahwa tidak ada lalu lintas sah yang diblokir. Seluruh proses mungkin memakan waktu beberapa minggu. Idealnya Anda akan melihat lebih sedikit deteksi positif palsu setelah setiap perubahan penyesuaian yang Anda buat.
• Terakhir, aktifkan WAF dalam mode Pencegahan.
• Bahkan setelah Anda menjalankan WAF dalam produksi, Anda harus terus memantau log untuk mengidentifikasi deteksi positif palsu lainnya. Meninjau log secara teratur juga akan membantu Anda mengidentifikasi setiap upaya serangan nyata yang telah diblokir.

Saat ini, aturan ModSec CRS 3.0, CRS 3.1, dan CRS 3.2 hanya didukung dengan WAF pada Application Gateway. Pembatasan tarif dan aturan Seperangkat Aturan Default yang dikelola Azure hanya didukung dengan WAF di Azure Front Door.

Didistribusikan secara global di tepi jaringan Azure, Azure Front Door dapat menyerap dan secara geografis mengisolasi serangan volume besar. Anda dapat membuat kebijakan WAF kustom untuk secara otomatis memblokir dan membatasi tingkat serangan http(s) yang memiliki tanda tangan yang diketahui. Selanjutnya, Anda dapat mengaktifkan DDoS Network Protection di VNet tempat back-end Anda disebarkan. Pelanggan Azure DDoS Protection menerima manfaat tambahan termasuk perlindungan biaya, jaminan SLA, dan akses ke pakar dari Tim Respons Cepat DDoS untuk bantuan segera selama serangan. Untuk informasi selengkapnya, lihat Perlindungan DDoS di Front Door.

Anda mungkin tidak melihat permintaan langsung diblokir oleh batas laju saat permintaan diproses oleh server Front Door yang berbeda. Untuk informasi lebih lanjut, lihat Pembatasan laju dan server Front Door.

WAF Front Door mendukung jenis konten berikut:

• DRS 2.0

  Aturan terkelola

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Aturan kustom

  • application/x-www-form-urlencoded

• DRS 1.x

  Aturan terkelola

  • application/x-www-form-urlencoded
  • text/plain

  Aturan kustom

  • application/x-www-form-urlencoded

Tidak, Anda tidak bisa. Profil AFD dan kebijakan WAF harus berada dalam langganan yang sama.

Langkah berikutnya

• Pelajari tentang Azure Web Application Firewall.
• Pelajari selengkapnya tentang Azure Front Door.