Брандмауэр веб-приложения (WAF) в Azure Front Door

Статья
06/02/2023

Брандмауэр веб-приложения Azure (WAF) в Azure Front Door обеспечивает централизованную защиту веб-приложений. WAF защищает веб-службы от распространенных эксплойтов и уязвимостей. Он обеспечивает высокую доступность службы для пользователей и помогает отвечать требованиям соответствия. Из этой статьи вы узнаете о различных функциях Azure Брандмауэр веб-приложений в Azure Front Door. Подробные сведения см. в статье WAF в Azure Front Door.

Схема брандмауэра веб-приложений, примененного к среде Azure Front Door.

Параметры политики

Политика брандмауэра веб-приложения (WAF) позволяет управлять доступом к веб-приложениям с помощью набора настраиваемых и управляемых правил. Можно изменить состояние политики или настроить конкретный тип для политики. В зависимости от параметров уровня политики можно либо активно проверять входящие запросы, только отслеживать, либо отслеживать и выполнять действия с запросами, которые соответствуют правилу. Вы также можете настроить WAF так, чтобы обнаруживать только угрозы, не блокируя их, что полезно при первом включении WAF. После оценки работы WAF с приложением можно перенастроить параметры WAF и включить WAF в режиме предотвращения. Дополнительные сведения см. в разделе Настройки политики WAF.

Управляемые правила

Брандмауэр веб-приложения (WAF) для службы Azure Front Door защищает веб-приложения от распространенных уязвимостей и эксплойтов. Наборы правил, управляемые Azure, позволяют легко развернуть защиту от типичного набора угроз безопасности. Так как наборы правил управляются Azure, правила обновляются по мере необходимости для защиты от новых сигнатур атак. Стандартный набор правил также включает правила сбора аналитики угроз (Майкрософт), которые записываются совместно с командой аналитиков Майкрософт, чтобы обеспечить больший охват, исправления для конкретных уязвимостей и более эффективное сокращение ложноположительных результатов. Дополнительные сведения см. в разделе Управляемые правила WAF.

Примечание

Управляемые правила поддерживаются только в Azure Front Door Premium и Azure Front Door (классическая версия).
Azure Front Door (классическая версия) поддерживает только DRS 1.1 или более ранних версий.

Настраиваемые правила

Брандмауэр веб-приложения Azure (WAF) с интерфейсом Front Door позволяет управлять доступом к веб-приложениям на основе определенных условий. Настраиваемое правило WAF состоит из номера приоритета, типа правила, условий соответствия и действия. Существует два типа настраиваемых правил: сопоставления и ограничения скорости. Правило соответствия управляет доступом через набор условий сопоставления, а правило ограничения скорости — через сопоставление условий с учетом частоты входящих запросов. Дополнительные сведения см. в статье Настраиваемые правила WAF.

Списки исключений

Брандмауэр веб-приложения (WAF) Azure может в отдельных случаях блокировать запрос, который требуется разрешить для приложения. Список исключений WAF позволяет исключать определенные атрибуты запроса из вычисления WAF и разрешить обрабатывать остальную часть запроса в обычном режиме. Дополнительные сведения см. в разделе Списки исключений WAF.

Фильтрация по странам

Azure Front Door по умолчанию отвечает на все запросы пользователей независимо от расположения, из которого поступает запрос. Геофильтрация позволяет ограничить доступ к веб-приложению по странам и регионам. Дополнительные сведения см. в статье Геофильтрация WAF.

Защита от ботов

Брандмауэр веб-приложений Azure (WAF) для Front Door предоставляет правила для обнаружения доверенных ботов и защиты от недопустимых ботов. Дополнительные сведения см. в разделе Настройка защиты от ботов.

Ограничение по IP-адресу

Правило контроля доступа на основе IP-адресов — это настраиваемое правило WAF, которое позволяет управлять доступом к веб-приложениям путем указания списка IP-адресов или диапазонов IP-адресов. Дополнительные сведения см. в разделе Настройка ограничения по IP-адресу.

Ограничение частоты

Настраиваемое правило ограничения скорости управляет доступом на основе условий соответствия и частоты входящих запросов. Дополнительные сведения см. в статье об ограничении скорости для службы Azure Front Door Service.

Настройка

Набор правил по умолчанию, управляемый корпорацией Майкрософт, основан на основном наборе правил OWASP (CRS) и включает правила сбора данных аналитики угроз Майкрософт. Брандмауэр веб-приложения Azure (WAF) позволяет настроить правила WAF в соответствии с потребностями приложения и требованиями, которые организация предъявляет к WAF. Можно ожидать, что будут доступны следующие функции настройки: определение исключений для правил, создание настраиваемых правил и отключение правил. Дополнительные сведения см. в статье Настройка WAF.

Мониторинг и ведение журналов

Мониторинг и ведение журнала брандмауэра веб-приложения Azure (WAF) осуществляется с помощью ведения журналов и интеграции с журналами Azure Monitor. Дополнительные сведения см. в статье Ведение журнала и мониторинг брандмауэра веб-приложения Azure (WAF).

Дальнейшие действия

Узнайте, как создать и применить политику Брандмауэр веб-приложений к Azure Front Door.
Дополнительные сведения см. в статье о Брандмауэр веб-приложения (WAF): вопросы и ответы.