Azure Web Application Firewall på Azure Front Door

  • Artikel

Azure Web Application Firewall (WAF) på Azure Front Door ger ett centraliserat skydd för dina webbprogram. WAF skyddar dina webbtjänster mot vanliga kryphål och sårbarheter. Tjänsten har hög tillgänglighet för användarna och hjälper dig att uppfylla efterlevnadskraven.

WAF på Front Door är en global och centraliserad lösning. Den distribueras på Azure-nätverksgränsplatser över hela världen. WAF-aktiverade webbprogram inspekterar varje inkommande begäran som levereras av Front Door vid nätverksgränsen.

WAF förhindrar skadliga attacker nära attackkällorna innan de kommer in i ditt virtuella nätverk. Du får globalt skydd i stor skala utan att offra prestanda. En WAF-princip länkar enkelt till valfri Front Door-profil i din prenumeration. Nya regler kan distribueras inom några minuter, så att du snabbt kan svara på föränderliga hotmönster.

Azure-brandvägg för webbaserade program

Azure Front Door har två nivåer: Front Door Standard och Front Door Premium. WAF är inbyggt integrerat med Front Door Premium med fullständiga funktioner. För Front Door Standard stöds endast anpassade regler .

WAF-princip och -regler

Du kan konfigurera en WAF-princip och associera den principen med en eller flera Front Door-klientdelar för skydd. En WAF-princip består av två typer av säkerhetsregler:

  • anpassade regler som skapats av kunden.

  • hanterade regeluppsättningar som är en samling Azure-hanterade förkonfigurerade regeluppsättningar.

När båda finns bearbetas anpassade regler innan reglerna bearbetas i en hanterad regeluppsättning. En regel består av ett matchningsvillkor, en prioritet och en åtgärd. Åtgärdstyper som stöds är: ALLOW, BLOCK, LOG och REDIRECT. Du kan skapa en helt anpassad princip som uppfyller dina specifika programskyddskrav genom att kombinera hanterade och anpassade regler.

Regler i en princip bearbetas i prioritetsordning. Prioritet är ett unikt heltal som definierar ordningen på de regler som ska bearbetas. Mindre heltalsvärde anger en högre prioritet och dessa regler utvärderas före regler med ett högre heltalsvärde. När en regel har matchats tillämpas motsvarande åtgärd som definierades i regeln på begäran. När en sådan matchning har bearbetats bearbetas inte regler med lägre prioritet ytterligare.

En webbapp som levereras av Front Door kan bara ha en WAF-princip som är associerad med den åt gången. Du kan dock ha en Front Door-konfiguration utan några WAF-principer som är associerade med den. Om det finns en WAF-princip replikeras den till alla våra gränsplatser för att säkerställa konsekventa säkerhetsprinciper över hela världen.

WAF-lägen

WAF-principen kan konfigureras att köras i följande två lägen:

  • Identifieringsläge: Vid körning i identifieringsläge vidtar WAF inga andra åtgärder än övervakare och loggar begäran och dess matchade WAF-regel till WAF-loggar. Du kan aktivera loggningsdiagnostik för Front Door. När du använder portalen går du till avsnittet Diagnostik .

  • Skyddsläge: I förebyggande läge vidtar WAF den angivna åtgärden om en begäran matchar en regel. Om en matchning hittas utvärderas inga ytterligare regler med lägre prioritet. Alla matchade begäranden loggas också i WAF-loggarna.

WAF-åtgärder

WAF-kunder kan välja att köra från en av åtgärderna när en begäran matchar en regels villkor:

  • Tillåta: Begäran passerar genom WAF och vidarebefordras till serverdelen. Inga ytterligare regler med lägre prioritet kan blockera den här begäran.
  • Blockera: Begäran blockeras och WAF skickar ett svar till klienten utan att vidarebefordra begäran till serverdelen.
  • Logga in: Begäran loggas i WAF-loggarna och WAF fortsätter att utvärdera regler med lägre prioritet.
  • Omdirigera: WAF omdirigerar begäran till den angivna URI:n. Den angivna URI:n är en principnivåinställning. När den har konfigurerats skickas alla begäranden som matchar omdirigeringsåtgärden till den URI:n.
  • Avvikelsepoäng: Detta är standardåtgärden för standardregeluppsättningen (DRS) 2.0 eller senare och gäller inte för Bot Manager-regeluppsättningen. Den totala avvikelsepoängen ökas stegvis när en regel med den här åtgärden matchas.

WAF-regler

En WAF-princip kan bestå av två typer av säkerhetsregler – anpassade regler som skapats av kunden och hanterade regeluppsättningar, Azure-hanterade förkonfigurerade regeluppsättningar.

Anpassade skapade regler

Du kan konfigurera anpassade regler WAF på följande sätt:

  • Lista över tillåtna IP-adresser och blockeringslista: Du kan styra åtkomsten till dina webbprogram baserat på en lista över klientens IP-adresser eller IP-adressintervall. Både IPv4- och IPv6-adresstyper stöds. Den här listan kan konfigureras för att antingen blockera eller tillåta de begäranden där käll-IP-adressen matchar en IP-adress i listan.

  • Geografisk baserad åtkomstkontroll: Du kan styra åtkomsten till dina webbprogram baserat på landskoden som är associerad med en klients IP-adress.

  • HTTP-parameterbaserad åtkomstkontroll: Du kan basera regler på strängmatchningar i HTTP/HTTPS-begärandeparametrar. Till exempel frågesträngar, POST-args, begärande-URI, begärandehuvud och begärandetext.

  • Begär metodbaserad åtkomstkontroll: Du baserar reglerna på http-begärandemetoden för begäran. Till exempel GET, PUT eller HEAD.

  • Storleksbegränsning: Du kan basera regler på längden på specifika delar av en begäran, till exempel frågesträng, URI eller begärandetext.

  • Regler för hastighetsbegränsning: En regel för hastighetskontroll begränsar onormalt hög trafik från alla klient-IP-adresser. Du kan konfigurera ett tröskelvärde för antalet webbbegäranden som tillåts från en klient-IP under en minut. Den här regeln skiljer sig från en IP-listbaserad anpassad regel för tillåt/blockera som antingen tillåter alla eller blockerar alla begäranden från en klient-IP-adress. Hastighetsbegränsningar kan kombineras med ytterligare matchningsvillkor, till exempel HTTP(S)-parametermatchningar för detaljerad hastighetskontroll.

Azure-hanterade regeluppsättningar

Azure-hanterade regeluppsättningar är ett enkelt sätt att distribuera skydd mot en gemensam uppsättning säkerhetshot. Eftersom sådana regeluppsättningar hanteras av Azure uppdateras reglerna efter behov för att skydda mot nya attacksignaturer. Den Azure-hanterade standardregeluppsättningen innehåller regler mot följande hotkategorier:

  • Skriptkörning över flera webbplatser
  • Java-attacker
  • Lokal filinkludering
  • PHP-inmatningsattacker
  • Fjärrkommandokörning
  • Införande av fjärrfil
  • Sessionskorrigering
  • Skydd mot SQL-inmatning
  • Protokollangripare

Anpassade regler tillämpas alltid innan regler i standardregeluppsättningen utvärderas. Om en begäran matchar en anpassad regel tillämpas motsvarande regelåtgärd. Begäran blockeras eller skickas till serverdelen. Inga andra anpassade regler eller reglerna i standardregeluppsättningen bearbetas. Du kan också ta bort standardregeluppsättningen från dina WAF-principer.

Mer information finns i Web Application Firewall DRS-regelgrupper och regler.

Regeluppsättning för robotskydd

Du kan aktivera en hanterad botskyddsregeluppsättning för att vidta anpassade åtgärder på begäranden från kända robotkategorier.

Det finns tre robotkategorier som stöds: Dålig, Bra och Okänd. Robotsignaturer hanteras och uppdateras dynamiskt av WAF-plattformen.

Dåliga robotar inkluderar robotar från skadliga IP-adresser och robotar som har förfalskat sina identiteter. Skadliga IP-adresser hämtas från Microsoft Threat Intelligence-flödet och uppdateras varje timme. Intelligent Security Graph driver Microsoft Threat Intelligence och används av flera tjänster, inklusive Microsoft Defender för molnet.

Bra robotar inkluderar validerade sökmotorer. Okända kategorier innehåller ytterligare robotgrupper som har identifierat sig som robotar. Till exempel market analyzer, feed fetchers och datainsamlingsagenter.

Okända robotar klassificeras via publicerade användaragenter utan ytterligare validering. Du kan ange att anpassade åtgärder ska blockera, tillåta, logga eller omdirigera för olika typer av robotar.

Regeluppsättning för robotskydd

Om robotskydd är aktiverat loggas inkommande begäranden som matchar robotreglerna. Du kan komma åt WAF-loggar från ett lagringskonto, en händelsehubb eller en logganalys.

Konfiguration

Du kan konfigurera och distribuera alla WAF-principer med hjälp av Azure Portal, REST API:er, Azure Resource Manager-mallar och Azure PowerShell. Du kan också konfigurera och hantera Azure WAF-principer i stor skala med hjälp av Firewall Manager-integrering (förhandsversion). Mer information finns i Använda Azure Firewall Manager för att hantera Web Application Firewall principer (förhandsversion).

Övervakning

Övervakning för WAF på Front Door är integrerat med Azure Monitor för att spåra aviseringar och enkelt övervaka trafiktrender.

Nästa steg