Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены рекомендации по использованию Брандмауэра веб-приложения Azure (WAF) в Шлюзе приложений Azure.
Общие рекомендации
Включение WAF
Для приложений, подключенных к Интернету, рекомендуется включить брандмауэр веб-приложения (WAF) и настроить его на использование управляемых правил. При использовании WAF и правил, управляемых корпорацией Майкрософт, приложение защищено от различных атак.
Использование политик WAF
Политики WAF — это новый тип ресурсов для управления WAF Шлюза приложений. Если у вас есть более старые WAF, использующие ресурсы конфигурации WAF, вам следует перейти на политики WAF, чтобы воспользоваться преимуществами новейших функций.
Дополнительные сведения см. в следующих ресурсах:
- Обновление политики WAF Шлюза приложений Azure
- Обновление политик брандмауэра веб-приложения с помощью Azure PowerShell
- Обновление конфигурации WAF Шлюза приложений до политики WAF с помощью диспетчера брандмауэра Azure
Настройте свой WAF
Правила в WAF должны быть настроены в соответствии с рабочей нагрузкой. Если вы не настроите WAF, он может случайно заблокировать запросы, которые должны быть разрешены. Настройка может включать создание исключений для правил для уменьшения количества ложных срабатываний.
При настройке WAF рассмотрите возможность использования режима обнаружения, который регистрирует запросы и действия, которые WAF обычно выполняет, но фактически не блокирует трафик.
Дополнительные сведения см. в статье об устранении неполадок в брандмауэре веб-приложения (WAF) для Шлюза приложений Azure.
Использование режима предотвращения
После настройки WAF необходимо настроить его для работы в режиме предотвращения. Работая в режиме предотвращения , вы гарантируете, что WAF действительно блокирует запросы, которые он определяет как вредоносные. Работа в режиме обнаружения полезна для тестирования во время настройки и конфигурации WAF, но не обеспечивает защиту. Он регистрирует трафик, но не предпринимает никаких действий, таких как разрешить или запретить.
Определение конфигурации WAF в виде кода
При настройке WAF для рабочей нагрузки приложения обычно создается набор исключений правил, чтобы уменьшить количество ложных срабатываний. Если вы вручную настроите эти исключения с помощью портала Azure, то при обновлении WAF для использования более новой версии набора правил вам потребуется повторно настроить те же исключения для новой версии набора правил. Этот процесс может занять много времени и подвержен ошибкам.
Вместо этого рассмотрите возможность определения исключений правил WAF и других конфигураций в виде кода, например с помощью Azure CLI, Azure PowerShell, Bicep или Terraform. Затем, когда вам потребуется обновить версию набора правил WAF, вы сможете легко повторно использовать те же исключения.
Рекомендации по управляемым наборам правил
Включение основных наборов правил
Основные наборы правил Майкрософт предназначены для защиты вашего приложения путем обнаружения и блокировки распространенных атак. Правила основаны на различных источниках, включая 10 основных типов атак OWASP и информацию от Microsoft Threat Intelligence.
Для получения дополнительной информации см. правила и группы правил CRS брандмауэра веб-приложений.
Включение правил управления ботами
Боты отвечают за значительную долю трафика в веб-приложения. Набор правил защиты от ботов WAF классифицирует ботов в зависимости от того, являются ли они хорошими, плохими или неизвестными. Плохие боты могут быть заблокированы, в то время как хорошие боты, такие как поисковые роботы, могут быть допущены к вашему приложению.
Дополнительные сведения см. в статье Обзор защиты ботов Брандмауэра веб-приложений Azure в Шлюзе приложений Azure.
Используйте последние версии набора правил
Корпорация Майкрософт регулярно обновляет управляемые правила с учетом текущей ситуации с угрозами. Убедитесь, что вы регулярно проверяете наличие обновлений в наборах правил, управляемых Azure.
Для получения дополнительной информации см. правила и группы правил CRS брандмауэра веб-приложений.
Рекомендации по геофильтрации
Геофильтрация трафика
Многие веб-приложения предназначены для пользователей в пределах определенного географического региона. Если эта ситуация применима к вашему приложению, рассмотрите возможность реализации геофильтрации для блокировки запросов, поступающих из-за пределов стран или регионов, из которых вы ожидаете получать трафик.
Дополнительные сведения см. в статье Настраиваемые правила геосопоставления.
Лесозаготовка
Добавьте параметры диагностики для сохранения журналов вашего WAF
WAF Шлюза приложений интегрируется с Azure Monitor. Важно включить параметры диагностики и сохранить журналы WAF в таком месте, как Log Analytics. Журналы WAF следует регулярно просматривать. Просмотр журналов помогает настроить политики WAF, чтобы уменьшить количество ложных срабатываний и понять, подвергалось ли приложение атакам.
Дополнительные сведения см. в статье Мониторинг и ведение журнала брандмауэра веб-приложения Azure.
Отправка журналов в Microsoft Sentinel
Microsoft Sentinel — это система управления информацией и событиями безопасности (SIEM), которая импортирует журналы и данные из нескольких источников, чтобы понять ландшафт угроз для веб-приложения и всей среды Azure. Журналы WAF Шлюза приложений должны быть импортированы в Microsoft Sentinel или другую систему SIEM, чтобы ваши ресурсы, доступные через Интернет, были включены в ее анализ. Для Microsoft Sentinel используйте соединитель Azure WAF, чтобы легко импортировать журналы WAF.
Дополнительные сведения см. в статье Использование Microsoft Sentinel с Брандмауэром веб-приложений Azure.
Следующий шаг
Узнайте, как включить WAF в Шлюзе приложений.