Veelgestelde vragen over Azure Web Application Firewall in Azure Front Door Service

Azure WAF is een webtoepassingsfirewall waarmee uw webtoepassingen worden beschermd tegen veelvoorkomende bedreigingen, zoals SQL-injectie, cross-site scripting en andere webexplots. U kunt een WAF-beleid definiëren dat bestaat uit een combinatie van aangepaste en beheerde regels om de toegang tot uw webtoepassingen te beheren.

Een Azure WAF-beleid kan worden toegepast op webtoepassingen die worden gehost op Application Gateway of Azure Front Doors.

Azure Front Door is een zeer schaalbaar, wereldwijd gedistribueerd toepassings- en contentleveringsnetwerk. Azure WAF, wanneer deze is geïntegreerd met Front Door, stopt denial-of-service en gerichte toepassingsaanvallen aan de rand van het Azure-netwerk, dicht bij aanvalsbronnen voordat ze uw virtuele netwerk binnenkomen, en biedt beveiliging zonder dat dit ten koste gaat van de prestaties.

Front Door biedt TLS-offloading. WAF is systeemeigen geïntegreerd met Front Door en kan een aanvraag inspecteren nadat deze is ontsleuteld.

Ja. U kunt IP-beperking voor IPv4 en IPv6 configureren. Zie IPv6 Adoption: Enhancing Azure WAF on Front Door voor meer informatie.

We doen ons best om het veranderende bedreigingslandschap bij te houden. Zodra een nieuwe regel is bijgewerkt, wordt deze toegevoegd aan de standaardregelset met een nieuw versienummer.

De meeste WAF-beleidsimplementaties zijn minder dan 20 minuten voltooid. U kunt verwachten dat het beleid van kracht wordt zodra de update is voltooid op alle edge-locaties wereldwijd.

Wanneer WAF is geïntegreerd met Front Door, is waf een wereldwijde resource. Dezelfde configuratie is van toepassing op alle Front Door-locaties.

U kunt IP-toegangsbeheerlijst configureren in uw back-end om alleen uitgaande IP-adresbereiken van Front Door toe te staan met behulp van de Azure Front Door-servicetag en om directe toegang vanaf internet te weigeren. Servicetags worden ondersteund voor gebruik in uw virtuele netwerk. Daarnaast kunt u controleren of het veld HTTP-header X-Forwarded-Host geldig is voor uw webtoepassing.

Er zijn twee opties voor het toepassen van WAF-beleid in Azure. WAF met Azure Front Door is een wereldwijd gedistribueerde edge-beveiligingsoplossing. WAF met Application Gateway is een regionale, toegewezen oplossing. U wordt aangeraden een oplossing te kiezen op basis van uw algemene prestatie- en beveiligingsvereisten. Zie Taakverdeling met de leveringssuite voor toepassingen van Azure voor meer informatie.

Wanneer u WAF inschakelt voor een bestaande toepassing, is het gebruikelijk dat fout-positieve detecties worden uitgevoerd waarbij de WAF-regels legitiem verkeer als een bedreiging detecteren. Als u het risico van een impact op uw gebruikers wilt minimaliseren, raden we het volgende proces aan:

• Schakel de WAF in de detectiemodus in om ervoor te zorgen dat aanvragen niet worden geblokkeerd terwijl u dit proces doorloopt. Deze stap wordt aanbevolen voor testdoeleinden op WAF.

  Belangrijk

  In dit proces wordt beschreven hoe u waF inschakelt voor een nieuwe of bestaande oplossing wanneer uw prioriteit is om de verstoring van de gebruikers van uw toepassing te minimaliseren. Als u een aanval of dreigende bedreiging ondervindt, wilt u in plaats daarvan de WAF onmiddellijk implementeren in de modus Preventie en het afstemmingsproces gebruiken om de WAF in de loop van de tijd te bewaken en af te stemmen. Dit zal er waarschijnlijk toe leiden dat een deel van uw legitieme verkeer wordt geblokkeerd. Daarom raden we u alleen aan dit te doen wanneer u wordt bedreigd.

• Volg onze richtlijnen voor het afstemmen van de WAF. Voor dit proces moet u diagnostische logboekregistratie inschakelen, de logboeken regelmatig controleren en regeluitsluitingen en andere oplossingen toevoegen.
• Herhaal dit hele proces, controleer de logboeken regelmatig totdat u tevreden bent dat er geen legitiem verkeer wordt geblokkeerd. Het hele proces kan enkele weken duren. In het ideale geval ziet u minder fout-positieve detecties na elke aanpassingswijziging die u aanbrengt.
• Schakel ten slotte de WAF in de preventiemodus in.
• Zelfs wanneer u de WAF in productie uitvoert, moet u de logboeken blijven bewaken om andere fout-positieve detecties te identificeren. Het regelmatig controleren van de logboeken helpt u ook bij het identificeren van echte aanvalspogingen die zijn geblokkeerd.

Momenteel worden ModSec CRS 3.0-, CRS 3.1- en CRS 3.2-regels alleen ondersteund met WAF op Application Gateway. Frequentielimieten en door Azure beheerde standaardregelsetregels worden alleen ondersteund met WAF in Azure Front Door.

Wereldwijd gedistribueerd aan azure-netwerkranden kan Azure Front Door grote volumeaanvallen absorberen en geografisch isoleren. U kunt aangepast WAF-beleid maken om http(s) aanvallen met bekende handtekeningen automatisch te blokkeren en frequentielimieten te beperken. Verder kunt u DDoS-netwerkbeveiliging inschakelen op het VNet waar uw back-ends worden geïmplementeerd. Klanten van Azure DDoS Protection krijgen extra voordelen, waaronder kostenbeveiliging, SLA-garantie en toegang tot experts van DDoS Rapid Response Team voor directe hulp tijdens een aanval. Zie DDoS-beveiliging op Front Door voor meer informatie.

Mogelijk ziet u niet dat aanvragen onmiddellijk worden geblokkeerd door de frequentielimiet wanneer aanvragen worden verwerkt door verschillende Front Door-servers. Zie Snelheidsbeperking en Front Door-servers voor meer informatie.

Front Door WAF ondersteunt de volgende inhoudstypen:

• DRS 2.0

  Beheerde regels

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Aangepaste regels

  • application/x-www-form-urlencoded

• DRS 1.x

  Beheerde regels

  • application/x-www-form-urlencoded
  • text/plain

  Aangepaste regels

  • application/x-www-form-urlencoded

Nee dat kan niet. Het AFD-profiel en het WAF-beleid moeten zich in hetzelfde abonnement bevinden.

Volgende stappen

• Meer informatie over Azure Web Application Firewall.
• Meer informatie over Azure Front Door.