Perguntas frequentes sobre o Firewall de Aplicativo Web do Azure no Serviço de Porta de Entrada do Azure

O WAF do Azure é um firewall de aplicativo Web que ajuda a proteger seus aplicativos Web contra ameaças comuns, como injeção de SQL, scripts entre sites e outras explorações da Web. Você pode definir uma política WAF que consiste em uma combinação de regras personalizadas e gerenciadas para controlar o acesso aos seus aplicativos Web.

Uma política WAF do Azure pode ser aplicada a aplicativos Web hospedados no Application Gateway ou no Azure Front Doors.

O Azure Front Door é uma rede de entrega de conteúdo e aplicativo altamente escalável e distribuída globalmente. O WAF do Azure, quando integrado ao Front Door, impede ataques de negação de serviço e aplicativos direcionados na borda da rede do Azure, perto de fontes de ataque antes que elas entrem em sua rede virtual, oferece proteção sem sacrificar o desempenho.

A porta da frente oferece descarregamento TLS. O WAF é integrado nativamente com o Front Door e pode inspecionar uma solicitação depois que ela for descriptografada.

Sim. Você pode configurar a restrição de IP para IPv4 e IPv6. Para obter mais informações, consulte IPv6 Adoption: Enhancing Azure WAF on Front Door.

Fazemos o nosso melhor para acompanhar as mudanças no cenário de ameaças. Depois que uma nova regra é atualizada, ela é adicionada ao Conjunto de Regras Padrão com um novo número de versão.

A maioria das implantações de políticas WAF é concluída em menos de 20 minutos. Você pode esperar que a política entre em vigor assim que a atualização for concluída em todos os pontos de presença globalmente.

Quando integrado com o Front Door, o WAF é um recurso global. A mesma configuração aplica-se a todas as localizações da Front Door.

Você pode configurar a Lista de Controle de Acesso IP em seu back-end para permitir apenas intervalos de endereços IP de saída da Front Door usando a marca de serviço do Azure Front Door e negar qualquer acesso direto da Internet. As etiquetas de serviço são suportadas para utilização na sua rede virtual. Além disso, você pode verificar se o campo de cabeçalho HTTP X-Forwarded-Host é válido para seu aplicativo Web.

Há duas opções ao aplicar políticas WAF no Azure. O WAF com o Azure Front Door é uma solução de segurança de borda distribuída globalmente. O WAF com Application Gateway é uma solução regional dedicada. Recomendamos que escolha uma solução com base nos seus requisitos gerais de desempenho e segurança. Para obter mais informações, consulte Balanceamento de carga com o pacote de entrega de aplicativos do Azure.

Quando você habilita o WAF em um aplicativo existente, é comum ter deteções de falsos positivos em que as regras do WAF detetam tráfego legítimo como uma ameaça. Para minimizar o risco de impacto para seus usuários, recomendamos o seguinte processo:

• Habilite o WAF no modo de deteção para garantir que o WAF não bloqueie solicitações enquanto você estiver trabalhando nesse processo. Esta etapa é recomendada para fins de teste no WAF.

  Importante

  Esse processo descreve como habilitar o WAF em uma solução nova ou existente quando sua prioridade é minimizar a perturbação para os usuários do seu aplicativo. Se você estiver sob ataque ou ameaça iminente, convém implantar o WAF no modo de prevenção imediatamente e usar o processo de ajuste para monitorar e ajustar o WAF ao longo do tempo. Isso provavelmente fará com que parte do seu tráfego legítimo seja bloqueado, e é por isso que só recomendamos fazer isso quando estiver sob ameaça.

• Siga as nossas orientações para ajustar o WAF. Esse processo requer que você habilite o log de diagnóstico, revise os logs regularmente e adicione exclusões de regras e outras atenuações.
• Repita todo este processo, verificando os registos regularmente, até ter a certeza de que nenhum tráfego legítimo está a ser bloqueado. Todo o processo pode levar várias semanas. O ideal é que você veja menos deteções de falsos positivos após cada alteração de ajuste feita.
• Por fim, habilite o WAF no modo de Prevenção.
• Mesmo depois de executar o WAF em produção, você deve continuar monitorando os logs para identificar quaisquer outras deteções de falsos positivos. Revisar regularmente os logs também ajudará você a identificar quaisquer tentativas reais de ataque que tenham sido bloqueadas.

Atualmente, as regras ModSec CRS 3.0, CRS 3.1 e CRS 3.2 só são suportadas com WAF no Application Gateway. A limitação de taxas e as regras do Conjunto de Regras Padrão gerenciadas pelo Azure são suportadas apenas com o WAF na Porta da Frente do Azure.

Distribuído globalmente nas bordas da rede do Azure, o Azure Front Door pode absorver e isolar geograficamente ataques de grande volume. Você pode criar uma política WAF personalizada para bloquear e classificar automaticamente ataques http(s) que tenham assinaturas conhecidas. Além disso, você pode habilitar a Proteção de Rede DDoS na VNet onde seus back-ends são implantados. Os clientes da Proteção contra DDoS do Azure recebem benefícios adicionais, incluindo proteção de custos, garantia de SLA e acesso a especialistas da Equipe de Resposta Rápida contra DDoS para obter ajuda imediata durante um ataque. Para obter mais informações, consulte Proteção contra DDoS na porta frontal.

Você pode não ver solicitações imediatamente bloqueadas pelo limite de taxa quando as solicitações são processadas por diferentes servidores Front Door. Para obter mais informações, consulte Limitação de taxa e servidores Front Door.

O WAF Front Door suporta os seguintes tipos de conteúdo:

• DRS 2,0

  Regras gerenciadas

  • application/json
  • application/xml
  • aplicação/x-www-form-urlencoded
  • multipart/form-data

  Regras personalizadas

  • aplicação/x-www-form-urlencoded

• DRS 1,x

  Regras gerenciadas

  • aplicação/x-www-form-urlencoded
  • text/plain

  Regras personalizadas

  • aplicação/x-www-form-urlencoded

Não, não podes. O perfil AFD e a política WAF precisam estar na mesma assinatura.

Próximos passos

• Saiba mais sobre o Firewall de Aplicativo Web do Azure.
• Saiba mais sobre o Azure Front Door.