Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące usługi Azure Web Application Firewall (WAF) w zakresie funkcji i funkcji usługi Azure Front Door Service.
Co to jest zapora aplikacji internetowej platformy Azure?
Zapora aplikacji internetowej platformy Azure to zapora aplikacji internetowej, która pomaga chronić aplikacje internetowe przed typowymi zagrożeniami, takimi jak wstrzyknięcie kodu SQL, wykonywanie skryptów między witrynami i inne luki w zabezpieczeniach sieci Web. Można zdefiniować zasady zapory aplikacji internetowej składające się z kombinacji niestandardowych i zarządzanych reguł w celu kontrolowania dostępu do aplikacji internetowych.
Zasady zapory aplikacji internetowej platformy Azure można zastosować do aplikacji internetowych hostowanych w usłudze Application Gateway lub Azure Front Door.
Co to jest zapora aplikacji internetowej w usłudze Azure Front Door?
Usługa Azure Front Door to wysoce skalowalna, globalnie rozproszona aplikacja i sieć dostarczania zawartości. Zapora aplikacji internetowej platformy Azure, zintegrowana z usługą Front Door, zatrzymuje ataki typu "odmowa usługi" i ukierunkowane ataki aplikacji na brzegu sieci platformy Azure, blisko źródeł ataków przed wejściem do sieci wirtualnej, zapewnia ochronę bez poświęcania wydajności.
Czy zapora aplikacji internetowej platformy Azure obsługuje protokół HTTPS?
Usługa Front Door oferuje odciążanie protokołu TLS. Zapora aplikacji internetowej jest natywnie zintegrowana z usługą Front Door i może sprawdzić żądanie po jego odszyfrowaniu.
Czy zapora aplikacji internetowej platformy Azure obsługuje protokół IPv6?
Tak. Można skonfigurować ograniczenie adresów IP dla protokołów IPv4 i IPv6.
Jak aktualne są zestawy reguł zarządzanych?
Robimy wszystko, aby nadążyć za zmieniającym się krajobrazem zagrożeń. Po zaktualizowaniu nowej reguły zostanie ona dodana do domyślnego zestawu reguł z nowym numerem wersji.
Jaki jest czas propagacji, jeśli wprowadzam zmianę zasad zapory aplikacji internetowej?
Większość wdrożeń zasad zapory aplikacji internetowej kończy się w ciągu 20 minut. Zasady będą obowiązywać po zakończeniu aktualizacji we wszystkich lokalizacjach brzegowych globalnie.
Czy zasady zapory aplikacji internetowej mogą być różne dla różnych regionów?
W przypadku integracji z usługą Front Door zapora aplikacji internetowej jest zasobem globalnym. Ta sama konfiguracja ma zastosowanie we wszystkich lokalizacjach usługi Front Door.
Jak mogę ograniczyć dostęp do zaplecza tylko z usługi Front Door?
Listę Access Control adresów IP można skonfigurować w zapleczu, aby zezwolić tylko na zakresy adresów IP wychodzących usługi Front Door przy użyciu tagu usługi Azure Front Door i odmówić dowolnego bezpośredniego dostępu z Internetu. Tagi usługi są obsługiwane do użycia w sieci wirtualnej. Ponadto możesz sprawdzić, czy pole nagłówka HTTP usługi X-Forwarded-Host jest prawidłowe dla aplikacji internetowej.
Które opcje zapory aplikacji internetowej platformy Azure należy wybrać?
Istnieją dwie opcje stosowania zasad zapory aplikacji internetowej na platformie Azure. Zapora aplikacji internetowej z usługą Azure Front Door to globalnie rozproszone, brzegowe rozwiązanie zabezpieczeń. Zapora aplikacji internetowej z Application Gateway to regionalne, dedykowane rozwiązanie. Zalecamy wybranie rozwiązania na podstawie ogólnych wymagań dotyczących wydajności i zabezpieczeń. Aby uzyskać więcej informacji, zobacz Równoważenie obciążenia za pomocą pakietu dostarczania aplikacji platformy Azure.
Jakie jest zalecane podejście do włączania zapory aplikacji internetowej w usłudze Front Door?
Po włączeniu zapory aplikacji internetowej w istniejącej aplikacji typowe jest wykrywanie fałszywie dodatnich, w których reguły zapory aplikacji internetowej wykrywają uzasadniony ruch jako zagrożenie. Aby zminimalizować ryzyko wpływu na użytkowników, zalecamy następujący proces:
- Włącz zaporę aplikacji internetowej w trybie wykrywania, aby upewnić się, że zapora aplikacji internetowej nie blokuje żądań podczas pracy z tym procesem. Ten krok jest zalecany do celów testowych w zaporze aplikacji internetowej.
Ważne
W tym procesie opisano sposób włączania zapory aplikacji internetowej w nowym lub istniejącym rozwiązaniu, gdy priorytetem jest zminimalizowanie zakłóceń dla użytkowników aplikacji. Jeśli atakujesz lub grozi ci bezpośrednie zagrożenie, możesz zamiast tego wdrożyć zaporę aplikacji internetowej w trybie zapobiegania natychmiast i użyć procesu dostrajania, aby monitorować i dostosowywać zaporę aplikacji internetowej w czasie. Prawdopodobnie spowoduje to zablokowanie niektórych uzasadnionych ruchów, dlatego zalecamy wykonanie tej czynności tylko wtedy, gdy jesteś zagrożony.
- Postępuj zgodnie z naszymi wskazówkami dotyczącymi dostrajania zapory aplikacji internetowej. Ten proces wymaga włączenia rejestrowania diagnostycznego, regularnego przeglądania dzienników oraz dodawania wykluczeń reguł i innych środków zaradczych.
- Powtórz ten cały proces, regularnie sprawdzając dzienniki, dopóki nie zostanie spełniony żaden uzasadniony ruch. Cały proces może potrwać kilka tygodni. Najlepiej, aby po każdej zmianie dostrajania zobaczyć mniej fałszywych wykryć dodatnich.
- Na koniec włącz zaporę aplikacji internetowej w trybie zapobiegania.
- Nawet po uruchomieniu zapory aplikacji internetowej w środowisku produkcyjnym należy monitorować dzienniki, aby zidentyfikować inne wykrycia fałszywie dodatnie. Regularne przeglądanie dzienników pomoże również zidentyfikować wszelkie rzeczywiste próby ataku, które zostały zablokowane.
Czy obsługujesz te same funkcje zapory aplikacji internetowej na wszystkich zintegrowanych platformach?
Obecnie reguły CrS CRS 3.0, CRS 3.1 i CRS 3.2 są obsługiwane tylko w przypadku zapory aplikacji internetowej w Application Gateway. Ograniczanie szybkości i reguły domyślnego zestawu reguł zarządzanych przez platformę Azure są obsługiwane tylko w przypadku zapory aplikacji internetowej w usłudze Azure Front Door.
Czy ochrona przed atakami DDoS jest zintegrowana z usługą Front Door?
Globalnie dystrybuowane na brzegach sieci platformy Azure usługa Azure Front Door może absorbować i izolować geograficznie duże ataki. Możesz utworzyć niestandardowe zasady zapory aplikacji internetowej, aby automatycznie blokować i ograniczać liczbę ataków http, które mają znane sygnatury. Ponadto można włączyć ochronę sieci DDoS w sieci wirtualnej, w której są wdrażane zaplecza. Klienci usługi Azure DDoS Protection otrzymują dodatkowe korzyści, w tym ochronę kosztów, gwarancję umowy SLA i dostęp do ekspertów z zespołu ds. szybkiego reagowania DDoS, aby uzyskać natychmiastową pomoc podczas ataku. Aby uzyskać więcej informacji, zobacz Ochrona przed atakami DDoS w usłudze Front Door.
Dlaczego dodatkowe żądania powyżej progu skonfigurowanego dla reguły limitu szybkości są przekazywane do serwera zaplecza?
Żądania mogą nie być natychmiast blokowane przez limit szybkości, gdy żądania są przetwarzane przez różne serwery usługi Front Door. Aby uzyskać więcej informacji, zobacz Ograniczanie szybkości i serwery usługi Front Door.
Jakie typy zawartości obsługuje zapora aplikacji internetowej?
Zapora aplikacji internetowej usługi Front Door obsługuje następujące typy zawartości:
DRS 2.0
Reguły zarządzane
- application/json
- aplikacja/xml
- application/x-www-form-urlencoded
- multipart/form-data
Reguły niestandardowe
- application/x-www-form-urlencoded
DRS 1.x
Reguły zarządzane
- application/x-www-form-urlencoded
- tekst/zwykły
Reguły niestandardowe
- application/x-www-form-urlencoded
Czy można zastosować zasady zapory aplikacji internetowej usługi Front Door do hostów frontonu w różnych profilach usługi Front Door Premium (AFDX), które należą do różnych subskrypcji?
Nie, nie można. Profil usługi AFD i zasady zapory aplikacji internetowej muszą znajdować się w tej samej subskrypcji.
Następne kroki
- Dowiedz się więcej o usłudze Azure Web Application Firewall.
- Dowiedz się więcej o usłudze Azure Front Door.