Metodtips för Azure Web Application Firewall i Azure Front Door
Den här artikeln sammanfattar metodtips för att använda Azure Web Application Firewall i Azure Front Door.
Allmänna metodtips
I det här avsnittet beskrivs allmänna metodtips.
Aktivera WAF
För internetuppkopplade program rekommenderar vi att du aktiverar en brandvägg för webbprogram (WAF) och konfigurerar den för att använda hanterade regler. När du använder en WAF- och Microsoft-hanterade regler skyddas ditt program från en rad attacker.
Justera din WAF
Reglerna i din WAF bör justeras för din arbetsbelastning. Om du inte justerar din WAF kan det av misstag blockera begäranden som ska tillåtas. Justering kan innebära att skapa regelundantag för att minska falska positiva identifieringar.
När du finjusterar din WAF bör du överväga att använda identifieringsläge. Det här läget loggar begäranden och de åtgärder som WAF normalt skulle vidta, men det blockerar faktiskt inte någon trafik.
Mer information finns i Justera Azure Web Application Firewall för Azure Front Door.
Använda förebyggande läge
När du har finjusterat din WAF konfigurerar du den så att den körs i förebyggande läge. Genom att köra i förebyggande läge ser du till att WAF blockerar begäranden som identifieras är skadliga. Det är användbart att köra i identifieringsläge när du finjusterar och konfigurerar din WAF, men det ger inget skydd.
Definiera waf-konfigurationen som kod
När du justerar din WAF för din programarbetsbelastning skapar du vanligtvis en uppsättning regelundantag för att minska falska positiva identifieringar. Om du konfigurerar dessa undantag manuellt med hjälp av Azure-portalen måste du konfigurera om samma undantag mot den nya regeluppsättningsversionen när du uppgraderar din WAF till att använda en nyare regeluppsättningsversion. Den här processen kan vara tidskrävande och felbenägen.
Överväg i stället att definiera waf-regelundantag och annan konfiguration som kod, till exempel med hjälp av Azure CLI, Azure PowerShell, Bicep eller Terraform. När du behöver uppdatera waf-regeluppsättningsversionen kan du enkelt återanvända samma undantag.
Metodtips för hanterade regeluppsättningar
I det här avsnittet beskrivs metodtips för regeluppsättningar.
Aktivera standardregeluppsättningar
Microsofts standardregeluppsättningar är utformade för att skydda ditt program genom att identifiera och blockera vanliga attacker. Reglerna baseras på olika källor, inklusive OWASP:s topp-10-attacktyper och information från Microsoft Threat Intelligence.
Mer information finns i Azure-hanterade regeluppsättningar.
Aktivera regler för robothantering
Robotar ansvarar för en betydande del av trafiken till webbprogram. WAF:s regeluppsättning för robotskydd kategoriserar robotar baserat på om de är bra, dåliga eller okända. Dåliga robotar kan sedan blockeras, medan bra robotar som sökrobotar tillåts till ditt program.
Mer information finns i Regeluppsättning för botskydd.
Använda de senaste regeluppsättningsversionerna
Microsoft uppdaterar regelbundet de hanterade reglerna för att ta hänsyn till det aktuella hotlandskapet. Kontrollera att du regelbundet söker efter uppdateringar av Azure-hanterade regeluppsättningar.
Mer information finns i Azure Web Application Firewall DRS-regelgrupper och regler.
Metodtips för hastighetsbegränsning
I det här avsnittet beskrivs metodtips för hastighetsbegränsning.
Lägga till hastighetsbegränsning
Med Azure Front Door WAF kan du styra antalet begäranden som tillåts från varje klients IP-adress under en viss tidsperiod. Det är en bra idé att lägga till hastighetsbegränsning för att minska effekten av att klienter oavsiktligt eller avsiktligt skickar stora mängder trafik till din tjänst, till exempel under ett nytt försök.
Mer information finns i följande resurser:
- Vad är hastighetsbegränsning för Azure Front Door?.
- Konfigurera en hastighetsbegränsningsregel för Azure Web Application Firewall med hjälp av Azure PowerShell.
- Varför skickas ytterligare begäranden över tröskelvärdet som konfigurerats för min hastighetsgränsregel till min serverdelsserver?
Använd ett högt tröskelvärde för hastighetsgränser
Vanligtvis är det bra att ange att tröskelvärdet för hastighetsbegränsningen ska vara högt. Om du till exempel vet att en enskild klient-IP-adress kan skicka cirka 10 begäranden till servern varje minut kan du överväga att ange ett tröskelvärde på 20 begäranden per minut.
Tröskelvärden med hög hastighet förhindrar att legitim trafik blockeras. Dessa tröskelvärden ger fortfarande skydd mot ett mycket stort antal begäranden som kan överbelasta infrastrukturen.
Metodtips för geofiltrering
I det här avsnittet beskrivs metodtips för geofiltrering.
Geo-filtertrafik
Många webbprogram är utformade för användare inom en specifik geografisk region. Om den här situationen gäller för ditt program kan du överväga att implementera geofiltrering för att blockera begäranden som kommer från utanför de länder eller regioner som du förväntar dig att ta emot trafik från.
Mer information finns i Vad är geofiltrering på en domän för Azure Front Door?.
Ange den okända platsen (ZZ)
Vissa IP-adresser mappas inte till platser i vår datauppsättning. När en IP-adress inte kan mappas till en plats tilldelar WAF trafiken till det okända landet eller regionen (ZZ). Om du vill undvika att blockera giltiga begäranden från dessa IP-adresser bör du överväga att tillåta det okända landet eller regionen (ZZ) via ditt geo-filter.
Mer information finns i Vad är geofiltrering på en domän för Azure Front Door?.
Loggning
I det här avsnittet beskrivs loggning.
Lägg till diagnostikinställningar för att spara waf-loggarna
Azure Front Door WAF integreras med Azure Monitor. Det är viktigt att spara WAF-loggarna till ett mål som Log Analytics. Du bör granska WAF-loggarna regelbundet. Genom att granska loggar kan du justera dina WAF-principer för att minska falska positiva identifieringar och förstå om ditt program har utsatts för attacker.
Mer information finns i Övervakning och loggning av Azure Web Application Firewall.
Skicka loggar till Microsoft Sentinel
Microsoft Sentinel är ett SIEM-system (säkerhetsinformation och händelsehantering) som importerar loggar och data från flera källor för att förstå hotlandskapet för webbprogrammet och den övergripande Azure-miljön. Azure Front Door WAF-loggar bör importeras till Microsoft Sentinel eller någon annan SIEM så att dina internetuppkopplade egenskaper ingår i analysen. För Microsoft Sentinel använder du Azure WAF-anslutningsappen för att enkelt importera dina WAF-loggar.
Mer information finns i Använda Microsoft Sentinel med Azure Web Application Firewall.
Nästa steg
Lär dig hur du skapar en Azure Front Door WAF-princip.