Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera podsumowanie najlepszych rozwiązań dotyczących korzystania z zapory aplikacji internetowej platformy Azure w usłudze Azure Application Gateway.
Ogólne sprawdzone metody postępowania
Włącz WAF
W przypadku aplikacji internetowych zalecamy włączenie zapory aplikacji internetowej (WAF) i skonfigurowanie jej pod kątem używania reguł zarządzanych. Gdy korzystasz z zapory sieciowej (WAF) oraz reguł zarządzanych przez Microsoft, twoja aplikacja jest chroniona przed różnymi atakami.
Korzystanie z zasad zapory aplikacji internetowej
Zasady WAF to nowy typ zasobu do zarządzania zaporą Application Gateway WAF. Jeśli masz starsze funkcje WAF korzystające z zasobów konfiguracji zapory aplikacji internetowej, należy przeprowadzić migrację do zasad zapory aplikacji internetowej, aby korzystać z najnowszych funkcji.
Aby uzyskać więcej informacji, zobacz następujące zasoby:
- Uaktualnienie polityki WAF usługi Azure Application Gateway
- Uaktualnianie zasad zapory aplikacji internetowej przy użyciu programu Azure PowerShell
- Zaktualizuj konfigurację WAF bramy aplikacyjnej do zasad WAF za pomocą Azure Firewall Manager
Dostrój zaporę aplikacji internetowej
Reguły w Twoim WAF powinny być dostosowane do obciążenia. Jeśli zapora aplikacji internetowej nie zostanie odpowiednio skonfigurowana, może przypadkowo zablokować żądania, które powinny być przepuszczane. Dostrajanie może obejmować tworzenie wykluczeń reguł w celu zmniejszenia liczby wykrywania wyników fałszywie dodatnich.
Podczas dostosowywania zapory aplikacji internetowej rozważ użycie trybu wykrywania, który rejestruje żądania i akcje, które zwykle podejmuje zapora aplikacji internetowej, ale w rzeczywistości nie blokuje żadnego ruchu.
Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z zaporą aplikacji internetowej (WAF) dla usługi Azure Application Gateway.
Korzystanie z trybu zapobiegania
Po dostrojeniu zapory aplikacji internetowej należy skonfigurować ją tak, aby działała w trybie zapobiegania. Uruchamiając tryb zapobiegania , upewnij się, że zapora aplikacji internetowej faktycznie blokuje żądania, które wykrywa jako złośliwe. Uruchamianie w trybie wykrywania jest przydatne do celów testowych, gdy dostosowujesz i konfigurujesz WAF, ale nie zapewnia ochrony. Rejestruje ruch, ale nie podejmuje żadnych akcji, takich jak zezwalanie lub odmawianie.
Definiowanie konfiguracji zapory aplikacji internetowej jako kodu
Podczas dostrajania zapory sieciowej aplikacji webowej dla obciążenia aplikacji zazwyczaj tworzy się zestaw wykluczeń reguł w celu zmniejszenia liczby fałszywych alarmów. Jeśli ręcznie skonfigurujesz te wykluczenia, korzystając z portalu Azure, to podczas uaktualniania zapory aplikacji internetowej do używania nowszej wersji zestawu reguł, będziesz musiał ponownie skonfigurować te same wyjątki wobec nowej wersji zestawu reguł. Ten proces może być czasochłonny i podatny na błędy.
Zamiast tego rozważ zdefiniowanie wykluczeń reguł zapory aplikacji internetowej i innych konfiguracji jako kodu, na przykład przy użyciu interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell, Bicep lub narzędzia Terraform. Następnie, gdy musisz zaktualizować wersję zestawu reguł zapory aplikacji internetowej, możesz łatwo użyć tych samych wykluczeń.
Najlepsze rozwiązania dotyczące zestawu reguł zarządzanych
Włącz podstawowe zestawy reguł
Podstawowe zestawy reguł firmy Microsoft są przeznaczone do ochrony aplikacji przez wykrywanie i blokowanie typowych ataków. Reguły są oparte na różnych źródłach, w tym 10 najpopularniejszych typów ataków według OWASP i informacji z Microsoft Threat Intelligence.
Aby uzyskać więcej informacji, zobacz Web Application Firewall CRS rule groups and rules (Grupy i reguły CRS zapory aplikacji internetowej).
Włączanie reguł zarządzania botami
Boty są odpowiedzialne za znaczną część ruchu do aplikacji internetowych. Zestaw reguł ochrony botów zapory aplikacji internetowej kategoryzuje boty na podstawie tego, czy są dobre, złe, czy nieznane. Nieprawidłowe boty mogą być następnie blokowane, podczas gdy dobre boty, takie jak crawlery wyszukiwarek, mogą być przepuszczane do aplikacji.
Aby uzyskać więcej informacji, zobacz Azure Web Application Firewall on Azure Application Gateway bot protection overview (Usługa Azure Web Application Firewall w usłudze Azure Application Gateway — omówienie ochrony botów).
Korzystanie z najnowszych wersji zestawu reguł
Firma Microsoft regularnie aktualizuje zarządzane reguły, aby uwzględnić bieżący poziom zagrożenia. Upewnij się, że regularnie sprawdzasz dostępność aktualizacji zestawów reguł zarządzanych przez platformę Azure.
Aby uzyskać więcej informacji, zobacz Web Application Firewall CRS rule groups and rules (Grupy i reguły CRS zapory aplikacji internetowej).
Najlepsze rozwiązania dotyczące filtrowania geograficznego
Filtrowanie geograficznego ruchu
Wiele aplikacji internetowych jest przeznaczonych dla użytkowników w określonym regionie geograficznym. Jeśli ta sytuacja dotyczy aplikacji, rozważ zaimplementowanie filtrowania geograficznego w celu blokowania żądań spoza krajów/regionów, z których oczekujesz ruchu.
Aby uzyskać więcej informacji, zobacz Reguły niestandardowe Geomatch.
Przemysł drzewny
Dodawanie ustawień diagnostycznych w celu zapisania dzienników zapory aplikacji internetowej
Zapora aplikacji internetowej usługi Application Gateway integruje się z usługą Azure Monitor. Ważne jest, aby włączyć ustawienia diagnostyczne i zapisać dzienniki zapory aplikacji internetowej do miejsca docelowego, takiego jak Log Analytics. Należy regularnie przeglądać dzienniki zapory aplikacji internetowej. Przeglądanie dzienników pomaga dostosować zasady zapory aplikacji internetowej w celu zmniejszenia liczby wyników fałszywie dodatnich oraz umożliwia zrozumienie, czy aplikacja była celem ataków.
Aby uzyskać więcej informacji, zobacz Monitorowanie i rejestrowanie usługi Azure Web Application Firewall.
Wysyłanie dzienników do usługi Microsoft Sentinel
Microsoft Sentinel to system zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), który importuje dzienniki i dane z wielu źródeł, aby zrozumieć poziom zagrożenia dla aplikacji internetowej i ogólnego środowiska platformy Azure. Dzienniki zapory aplikacji internetowej usługi Application Gateway powinny być importowane do usługi Microsoft Sentinel lub innego rozwiązania SIEM, aby właściwości dostępne z Internetu były uwzględniane w analizie. W przypadku usługi Microsoft Sentinel użyj konektora WAF platformy Azure, aby łatwo zaimportować dzienniki zapory aplikacji internetowej (WAF).
Aby uzyskać więcej informacji, zobacz Using Microsoft Sentinel with Azure Web Application Firewall (Używanie usługi Microsoft Sentinel z zaporą aplikacji internetowej platformy Azure).
Następny krok
Dowiedz się, jak włączyć WAF na platformie Application Gateway.