Vanliga frågor och svar om Azure Web Application Firewall i Azure Front Door Service

Azure WAF är en brandvägg för webbaserade program som hjälper dig att skydda dina webbprogram mot vanliga hot som SQL-inmatning, skriptkörning mellan webbplatser och andra webbexploateringar. Du kan definiera en WAF-princip som består av en kombination av anpassade och hanterade regler för att styra åtkomsten till dina webbprogram.

En Azure WAF-princip kan tillämpas på webbprogram som finns på Application Gateway eller Azure Front Doors.

Azure Front Door är ett mycket skalbart, globalt distribuerat nätverk för program och innehållsleverans. Azure WAF, när det är integrerat med Front Door, stoppar överbelastningsattacker och riktade programattacker vid Azure-nätverksgränsen, nära attackkällor innan de kommer in i ditt virtuella nätverk, ger skydd utan att offra prestanda.

Front Door erbjuder TLS-avlastning. WAF är inbyggt integrerat med Front Door och kan inspektera en begäran när den har dekrypterats.

Ja. Du kan konfigurera IP-begränsning för IPv4 och IPv6.

Vi gör vårt bästa för att hänga med i det föränderliga hotlandskapet. När en ny regel har uppdaterats läggs den till i standardregeluppsättningen med ett nytt versionsnummer.

De flesta WAF-principdistributioner slutförs under 20 minuter. Du kan förvänta dig att principen börjar gälla så snart uppdateringen har slutförts på alla gränsplatser globalt.

När WAF är integrerat med Front Door är det en global resurs. Samma konfiguration gäller för alla Front Door-platser.

Du kan konfigurera IP-Access Control-listan i serverdelen så att den endast tillåter utgående IP-adressintervall för Front Door med hjälp av Azure Front Door-tjänsttaggen och nekar direkt åtkomst från Internet. Tjänsttaggar stöds för att du ska kunna använda i ditt virtuella nätverk. Dessutom kan du kontrollera att HTTP-huvudfältet X-Forwarded-Host är giltigt för webbappen.

Det finns två alternativ när du tillämpar WAF-principer i Azure. WAF med Azure Front Door är en globalt distribuerad gränssäkerhetslösning. WAF med Application Gateway är en regional, dedikerad lösning. Vi rekommenderar att du väljer en lösning baserat på dina övergripande prestanda- och säkerhetskrav. Mer information finns i Belastningsutjämning med Azures programsvit för programleverans.

När du aktiverar WAF i ett befintligt program är det vanligt att ha falska positiva identifieringar där WAF-reglerna identifierar legitim trafik som ett hot. För att minimera risken för påverkan på användarna rekommenderar vi följande process:

• Aktivera WAF i identifieringsläge för att säkerställa att WAF inte blockerar begäranden medan du arbetar med den här processen. Det här steget rekommenderas i testsyfte på WAF.

  Viktigt

  Den här processen beskriver hur du aktiverar WAF på en ny eller befintlig lösning när din prioritet är att minimera störningen för programmets användare. Om du är under attack eller överhängande hot kanske du i stället vill distribuera WAF i förebyggande läge omedelbart och använda justeringsprocessen för att övervaka och finjustera WAF över tid. Detta kommer förmodligen att orsaka att en del av din legitima trafik blockeras, vilket är anledningen till att vi bara rekommenderar att du gör detta när du är hotad.

• Följ vår vägledning för att justera WAF. Den här processen kräver att du aktiverar diagnostisk loggning, granskar loggarna regelbundet och lägger till regelundantag och andra åtgärder.
• Upprepa hela processen och kontrollera loggarna regelbundet tills du är nöjd med att ingen legitim trafik blockeras. Hela processen kan ta flera veckor. Vi rekommenderar att du ser färre falska positiva identifieringar efter varje justeringsändring du gör.
• Aktivera slutligen WAF i förebyggande läge.
• Även när du kör WAF i produktion bör du fortsätta att övervaka loggarna för att identifiera andra falska positiva identifieringar. Genom att regelbundet granska loggarna kan du också identifiera eventuella verkliga attackförsök som har blockerats.

ModSec CRS 3.0-, CRS 3.1- och CRS 3.2-regler stöds för närvarande endast med WAF på Application Gateway. Hastighetsbegränsning och Azure-hanterade standardregeluppsättningsregler stöds endast med WAF på Azure Front Door.

Azure Front Door distribueras globalt vid Azure-nätverkskanter och kan absorbera och geografiskt isolera stora volymattacker. Du kan skapa en anpassad WAF-princip för att automatiskt blockera och hastighetsbegränsning för http-attacker som har kända signaturer. Dessutom kan du aktivera DDoS-nätverksskydd på det virtuella nätverk där serverdelarna distribueras. Azure DDoS Protection-kunder får ytterligare fördelar, inklusive kostnadsskydd, SLA-garanti och åtkomst till experter från DDoS Rapid Response Team för omedelbar hjälp under en attack. Mer information finns i DDoS-skydd på Front Door.

Du kanske inte ser begäranden som blockeras omedelbart av hastighetsbegränsningen när begäranden bearbetas av olika Front Door-servrar. Mer information finns i Hastighetsbegränsning och Front Door-servrar.

Front Door WAF stöder följande innehållstyper:

• DRS 2.0

  Hanterade regler

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Anpassade regler

  • application/x-www-form-urlencoded

• DRS 1.x

  Hanterade regler

  • application/x-www-form-urlencoded
  • text/oformaterad

  Anpassade regler

  • application/x-www-form-urlencoded

Nej, det kan du inte. AFD-profilen och WAF-principen måste finnas i samma prenumeration.

Nästa steg

• Läs mer om Azure Web Application Firewall.
• Läs mer om Azure Front Door.