Tanya jawab umum untuk Azure Web Application Firewall di Azure Front Door

Artikel ini menjawab pertanyaan umum tentang fitur dan fungsionalitas untuk Azure Web Application Firewall di Azure Front Door.

Apa itu Azure Web Application Firewall?

Azure Web Application Firewall adalah firewall aplikasi web (WAF) yang membantu melindungi aplikasi web Anda dari ancaman umum seperti injeksi SQL, pembuatan skrip lintas situs, dan eksploitasi web lainnya. Anda dapat menentukan kebijakan WAF yang terdiri dari kombinasi aturan kustom dan terkelola untuk mengontrol akses ke aplikasi web Anda.

Anda dapat menerapkan kebijakan WAF ke aplikasi web yang dihosting di Azure Application Gateway atau Azure Front Door.

Apa itu Azure Web Application Firewall di Azure Front Door?

Azure Front Door adalah jaringan pengiriman aplikasi dan konten yang sangat dapat diskalakan dan didistribusikan secara global. Azure Web Application Firewall, ketika terintegrasi dengan Azure Front Door, menghentikan penolakan layanan dan serangan aplikasi yang ditargetkan di tepi jaringan Azure (dekat dengan sumber serangan) sebelum mereka memasuki jaringan virtual Anda. Kombinasi ini menawarkan perlindungan tanpa mengorbankan performa.

Apakah Azure Web Application Firewall mendukung HTTPS?

Azure Front Door menawarkan pengurangan beban Transport Layer Security (TLS). Azure Web Application Firewall terintegrasi secara asli dengan Azure Front Door dan dapat memeriksa permintaan setelah didekripsi.

Apakah Azure Web Application Firewall mendukung IPv6?

Ya. Anda dapat mengonfigurasikan pembatasan IP untuk IPv4 dan IPv6. Untuk informasi selengkapnya, lihat posting blog tentang adopsi IPv6 untuk meningkatkan Azure Web Application Firewall di Azure Front Door.

Seberapa terbaru seperangkat aturan terkelola?

Kami melakukan yang terbaik untuk mengikuti perubahan lanskap ancaman. Saat memperbarui aturan, kami menambahkannya ke Seperangkat Aturan Default (DRS) dengan nomor versi baru.

Berapa lama waktu penerapan jika saya membuat perubahan pada kebijakan WAF saya?

Sebagian besar penyebaran kebijakan WAF selesai dalam waktu kurang dari 20 menit. Anda dapat mengharapkan kebijakannya langsung berlaku di saat pembaruan telah selesai di seluruh lokasi tepi secara global.

Bisakah kebijakan WAF berbeda untuk berbagai wilayah?

Saat Azure Web Application Firewall terintegrasi dengan Azure Front Door, WAF adalah sumber daya global. Konfigurasi yang sama berlaku di semua lokasi Azure Front Door.

Bagaimana cara memastikan bahwa hanya Azure Front Door yang dapat mengakses ujung belakang di jaringan saya?

Anda dapat mengonfigurasi daftar kontrol akses IP di ujung belakang Anda untuk memungkinkan hanya rentang alamat IP keluar Azure Front Door dengan menggunakan tag layanan Azure Front Door dan menolak akses langsung dari internet. Tag layanan didukung untuk jaringan virtual Anda. Selain itu, Anda dapat memverifikasi bahwa X-Forwarded-Host bidang header HTTP valid untuk aplikasi web Anda.

Opsi WAF mana yang harus saya pilih?

Ada dua opsi untuk menerapkan kebijakan WAF di Azure. Azure Web Application Firewall di Azure Front Door adalah solusi keamanan tepi yang didistribusikan secara global. Azure Web Application Firewall di Application Gateway adalah solusi regional khusus. Kami menyarankan agar Anda memilih solusi berdasarkan persyaratan performa dan keamanan Anda secara keseluruhan. Untuk informasi selengkapnya, lihat Opsi penyeimbangan beban.

Apa pendekatan yang direkomendasikan untuk mengaktifkan WAF di Azure Front Door?

Saat Anda mengaktifkan WAF pada aplikasi yang ada, seringkali terjadi deteksi positif palsu yang mana aturan WAF mendeteksi lalu lintas yang sah sebagai ancaman. Untuk mengecilkan risiko dampak kepada pengguna Anda, kami merekomendasikan proses berikut:

1. Aktifkan WAF dalam mode deteksi untuk memastikan bahwa WAF tidak memblokir permintaan saat Anda sedang mengerjakan proses ini. Kami merekomendasikan langkah ini untuk tujuan pengujian pada WAF.

   Penting

   Proses ini menjelaskan cara mengaktifkan WAF pada solusi baru atau yang sudah ada ketika prioritas Anda adalah meminimalkan gangguan pada pengguna aplikasi Anda. Jika Anda sedang diserang atau ancaman yang akan segera terjadi, Anda mungkin ingin segera menyebarkan WAF dalam mode pencegahan. Anda kemudian dapat menggunakan proses penyetelan untuk memantau dan menyetel WAF dari waktu ke waktu. Pendekatan ini mungkin akan menyebabkan beberapa lalu lintas sah Anda diblokir, itulah sebabnya kami merekomendasikan untuk menggunakannya hanya ketika Anda berada di bawah ancaman.

2. Ikuti panduan untuk menyetel WAF. Proses ini mengharuskan Anda mengaktifkan pencatatan diagnostik, meninjau log secara teratur, dan menambahkan pengecualian aturan dan upaya mitigasi lainnya.

3. Ulangi seluruh proses ini dan periksa log secara teratur, sampai Anda puas bahwa tidak ada lalu lintas yang sah yang diblokir. Seluruh proses mungkin memakan waktu beberapa minggu. Secara ideal, Anda akan melihat lebih sedikit pendeteksian positif palsu setelah setiap kali Anda melakukan perubahan penyetelan.

4. Terakhir, aktifkan WAF dalam mode pencegahan.

Bahkan setelah mengoperasikan WAF di lingkungan produksi, Anda harus terus memantau log untuk mengidentifikasi deteksi positif palsu lainnya. Meninjau log secara teratur juga membantu Anda mengidentifikasi upaya serangan nyata yang diblokir.

Apakah Anda mendukung fitur WAF yang sama di semua platform terintegrasi?

Saat ini, aturan Core Rule Set (CRS) 3.0, CRS 3.1, dan CRS 3.2 hanya didukung dengan Azure Web Application Firewall di Application Gateway. Pembatasan tarif dan aturan DRS yang dikelola Azure hanya didukung dengan Azure Web Application Firewall di Azure Front Door.

Apakah perlindungan DDoS terintegrasi dengan Azure Front Door?

Azure Front Door didistribusikan secara global di tepi jaringan Azure. Ini dapat menyerap dan secara geografis mengisolasi serangan dengan volume besar. Anda dapat membuat kebijakan WAF kustom untuk memblokir dan membatasi serangan HTTP dan HTTPS secara otomatis yang memiliki tanda tangan yang diketahui. Anda juga dapat mengaktifkan perlindungan jaringan distributed denial-of-service (DDoS) di jaringan virtual di mana back end Anda digunakan.

Pelanggan layanan Azure DDoS Protection menerima manfaat tambahan, termasuk perlindungan biaya, jaminan perjanjian tingkat layanan (SLA), dan akses ke pakar dari Tim Respons Cepat DDoS untuk bantuan segera selama serangan. Untuk informasi selengkapnya, lihat DDoS Protection di Azure Front Door.

Mengapa permintaan tambahan di atas ambang batas yang dikonfigurasi untuk aturan batas tarif saya diteruskan ke server back-end saya?

Anda mungkin tidak melihat permintaan segera diblokir oleh batas tarif saat server Azure Front Door yang berbeda memproses permintaan. Untuk informasi selengkapnya, lihat Batas tarif dan server Azure Front Door.

Jenis konten apa yang didukung WAF?

Azure Front Door WAF mendukung jenis konten berikut:

• DRS 2.0

  Aturan terkelola:

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Aturan kustom:

  • application/x-www-form-urlencoded

• DRS 1.x

  Aturan terkelola:

  • application/x-www-form-urlencoded
  • text/plain

  Aturan kustom:

  • application/x-www-form-urlencoded

Nota

Azure Front Door WAF tidak mendukung pengodean konten. Ini berarti bahwa tubuh terkompresi tidak akan didekompresi sebelum dikirim ke mesin WAF.

Dapatkah saya menerapkan kebijakan WAF Azure Front Door ke host front-end di profil Azure Front Door Premium milik langganan yang berbeda?

Tidak, Anda tidak bisa. Profil Azure Front Door dan kebijakan WAF harus berada dalam langganan yang sama.

Konten terkait

• Apa itu Azure Web Application Firewall?
• Apa itu Azure Front Door?

Artikel ini menjawab pertanyaan umum tentang fitur dan fungsionalitas untuk Azure Web Application Firewall di Azure Front Door.

Azure Web Application Firewall adalah firewall aplikasi web (WAF) yang membantu melindungi aplikasi web Anda dari ancaman umum seperti injeksi SQL, pembuatan skrip lintas situs, dan eksploitasi web lainnya. Anda dapat menentukan kebijakan WAF yang terdiri dari kombinasi aturan kustom dan terkelola untuk mengontrol akses ke aplikasi web Anda.

Anda dapat menerapkan kebijakan WAF ke aplikasi web yang dihosting di Azure Application Gateway atau Azure Front Door.

Azure Front Door adalah jaringan pengiriman aplikasi dan konten yang sangat dapat diskalakan dan didistribusikan secara global. Azure Web Application Firewall, ketika terintegrasi dengan Azure Front Door, menghentikan penolakan layanan dan serangan aplikasi yang ditargetkan di tepi jaringan Azure (dekat dengan sumber serangan) sebelum mereka memasuki jaringan virtual Anda. Kombinasi ini menawarkan perlindungan tanpa mengorbankan performa.

Azure Front Door menawarkan pengurangan beban Transport Layer Security (TLS). Azure Web Application Firewall terintegrasi secara asli dengan Azure Front Door dan dapat memeriksa permintaan setelah didekripsi.

Ya. Anda dapat mengonfigurasikan pembatasan IP untuk IPv4 dan IPv6. Untuk informasi selengkapnya, lihat posting blog tentang adopsi IPv6 untuk meningkatkan Azure Web Application Firewall di Azure Front Door.

Kami melakukan yang terbaik untuk mengikuti perubahan lanskap ancaman. Saat memperbarui aturan, kami menambahkannya ke Seperangkat Aturan Default (DRS) dengan nomor versi baru.

Sebagian besar penyebaran kebijakan WAF selesai dalam waktu kurang dari 20 menit. Anda dapat mengharapkan kebijakannya langsung berlaku di saat pembaruan telah selesai di seluruh lokasi tepi secara global.

Saat Azure Web Application Firewall terintegrasi dengan Azure Front Door, WAF adalah sumber daya global. Konfigurasi yang sama berlaku di semua lokasi Azure Front Door.

Anda dapat mengonfigurasi daftar kontrol akses IP di ujung belakang Anda untuk memungkinkan hanya rentang alamat IP keluar Azure Front Door dengan menggunakan tag layanan Azure Front Door dan menolak akses langsung dari internet. Tag layanan didukung untuk jaringan virtual Anda. Selain itu, Anda dapat memverifikasi bahwa X-Forwarded-Host bidang header HTTP valid untuk aplikasi web Anda.

Ada dua opsi untuk menerapkan kebijakan WAF di Azure. Azure Web Application Firewall di Azure Front Door adalah solusi keamanan tepi yang didistribusikan secara global. Azure Web Application Firewall di Application Gateway adalah solusi regional khusus. Kami menyarankan agar Anda memilih solusi berdasarkan persyaratan performa dan keamanan Anda secara keseluruhan. Untuk informasi selengkapnya, lihat Opsi penyeimbangan beban.

Saat Anda mengaktifkan WAF pada aplikasi yang ada, seringkali terjadi deteksi positif palsu yang mana aturan WAF mendeteksi lalu lintas yang sah sebagai ancaman. Untuk mengecilkan risiko dampak kepada pengguna Anda, kami merekomendasikan proses berikut:

1. Aktifkan WAF dalam mode deteksi untuk memastikan bahwa WAF tidak memblokir permintaan saat Anda sedang mengerjakan proses ini. Kami merekomendasikan langkah ini untuk tujuan pengujian pada WAF.

   Penting

   Proses ini menjelaskan cara mengaktifkan WAF pada solusi baru atau yang sudah ada ketika prioritas Anda adalah meminimalkan gangguan pada pengguna aplikasi Anda. Jika Anda sedang diserang atau ancaman yang akan segera terjadi, Anda mungkin ingin segera menyebarkan WAF dalam mode pencegahan. Anda kemudian dapat menggunakan proses penyetelan untuk memantau dan menyetel WAF dari waktu ke waktu. Pendekatan ini mungkin akan menyebabkan beberapa lalu lintas sah Anda diblokir, itulah sebabnya kami merekomendasikan untuk menggunakannya hanya ketika Anda berada di bawah ancaman.

2. Ikuti panduan untuk menyetel WAF. Proses ini mengharuskan Anda mengaktifkan pencatatan diagnostik, meninjau log secara teratur, dan menambahkan pengecualian aturan dan upaya mitigasi lainnya.

3. Ulangi seluruh proses ini dan periksa log secara teratur, sampai Anda puas bahwa tidak ada lalu lintas yang sah yang diblokir. Seluruh proses mungkin memakan waktu beberapa minggu. Secara ideal, Anda akan melihat lebih sedikit pendeteksian positif palsu setelah setiap kali Anda melakukan perubahan penyetelan.

4. Terakhir, aktifkan WAF dalam mode pencegahan.

Bahkan setelah mengoperasikan WAF di lingkungan produksi, Anda harus terus memantau log untuk mengidentifikasi deteksi positif palsu lainnya. Meninjau log secara teratur juga membantu Anda mengidentifikasi upaya serangan nyata yang diblokir.

Saat ini, aturan Core Rule Set (CRS) 3.0, CRS 3.1, dan CRS 3.2 hanya didukung dengan Azure Web Application Firewall di Application Gateway. Pembatasan tarif dan aturan DRS yang dikelola Azure hanya didukung dengan Azure Web Application Firewall di Azure Front Door.

Azure Front Door didistribusikan secara global di tepi jaringan Azure. Ini dapat menyerap dan secara geografis mengisolasi serangan dengan volume besar. Anda dapat membuat kebijakan WAF kustom untuk memblokir dan membatasi serangan HTTP dan HTTPS secara otomatis yang memiliki tanda tangan yang diketahui. Anda juga dapat mengaktifkan perlindungan jaringan distributed denial-of-service (DDoS) di jaringan virtual di mana back end Anda digunakan.

Pelanggan layanan Azure DDoS Protection menerima manfaat tambahan, termasuk perlindungan biaya, jaminan perjanjian tingkat layanan (SLA), dan akses ke pakar dari Tim Respons Cepat DDoS untuk bantuan segera selama serangan. Untuk informasi selengkapnya, lihat DDoS Protection di Azure Front Door.

Anda mungkin tidak melihat permintaan segera diblokir oleh batas tarif saat server Azure Front Door yang berbeda memproses permintaan. Untuk informasi selengkapnya, lihat Batas tarif dan server Azure Front Door.

Azure Front Door WAF mendukung jenis konten berikut:

• DRS 2.0

  Aturan terkelola:

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Aturan kustom:

  • application/x-www-form-urlencoded

• DRS 1.x

  Aturan terkelola:

  • application/x-www-form-urlencoded
  • text/plain

  Aturan kustom:

  • application/x-www-form-urlencoded

Nota

Azure Front Door WAF tidak mendukung pengodean konten. Ini berarti bahwa tubuh terkompresi tidak akan didekompresi sebelum dikirim ke mesin WAF.

Tidak, Anda tidak bisa. Profil Azure Front Door dan kebijakan WAF harus berada dalam langganan yang sama.

Konten terkait

• Apa itu Azure Web Application Firewall?
• Apa itu Azure Front Door?