Azure Web Application Firewall på Azure Content Delivery Network från Microsoft

Azure Web Application Firewall (WAF) på Azure Content Delivery Network (CDN) från Microsoft ger ett centraliserat skydd för ditt webbinnehåll. WAF skyddar dina webbtjänster mot vanliga sårbarheter och sårbarheter. Tjänsten har hög tillgänglighet för användarna och hjälper dig att uppfylla efterlevnadskraven.

Viktigt

WAF på Azure CDN från Microsoft är för närvarande i offentlig förhandsversion och tillhandahålls med ett förhandsversionsavtal på tjänstnivå. Vissa funktioner kanske inte stöds eller kan ha begränsad funktionalitet. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

WAF på Azure CDN är en global och centraliserad lösning. Den distribueras på Azure-nätverksgränsplatser över hela världen. WAF stoppar skadliga attacker nära attackkällorna innan de når ditt ursprung. Du får globalt skydd i stor skala utan att offra prestanda.

En WAF-princip länkar enkelt till valfri CDN-slutpunkt i din prenumeration. Nya regler kan distribueras inom några minuter, så att du snabbt kan svara på ändrade hotmönster.

Brandvägg för Azure-webbprogram

WAF-princip och -regler

Du kan konfigurera en WAF-princip och associera principen med en eller flera CDN-slutpunkter för skydd. En WAF-princip består av två typer av säkerhetsregler:

  • anpassade regler som du kan skapa.

  • hanterade regeluppsättningar som är en samling Azure-hanterade förkonfigurerade regler.

När båda finns bearbetas anpassade regler innan reglerna bearbetas i en hanterad regeluppsättning. En regel består av ett matchningsvillkor, en prioritet och en åtgärd. Åtgärdstyper som stöds är: ALLOW, BLOCK, LOG och REDIRECT. Du kan skapa en helt anpassad princip som uppfyller dina specifika programskyddskrav genom att kombinera hanterade och anpassade regler.

Regler i en princip bearbetas i prioritetsordning. Prioritet är ett unikt tal som definierar ordningen på de regler som ska bearbetas. Mindre tal har högre prioritet och dessa regler utvärderas innan regler med ett större värde. När en regel har matchats tillämpas motsvarande åtgärd som definierades i regeln på begäran. När en sådan matchning har bearbetats bearbetas inte regler med lägre prioritet ytterligare.

Ett webbprogram som finns på Azure CDN kan bara ha en WAF-princip associerad med den åt gången. Du kan dock ha en CDN-slutpunkt utan några WAF-principer som är associerade med den. Om det finns en WAF-princip replikeras den till alla våra gränsplatser för att säkerställa konsekventa säkerhetsprinciper över hela världen.

WAF-lägen

WAF-principen kan konfigureras så att den körs i följande två lägen:

  • Identifieringsläge: När du kör i identifieringsläge vidtar WAF inga andra åtgärder än övervakare och loggar begäran och dess matchade WAF-regel till WAF-loggar. Du kan aktivera loggningsdiagnostik för CDN. När du använder portalen går du till avsnittet Diagnostik .

  • Förebyggande läge: I förebyggande läge vidtar WAF den angivna åtgärden om en begäran matchar en regel. Om en matchning hittas utvärderas inga ytterligare regler med lägre prioritet. Alla matchade begäranden loggas också i WAF-loggarna.

WAF-åtgärder

Du kan välja någon av följande åtgärder när en begäran matchar en regels villkor:

  • Tillåt: Begäran skickas via WAF och vidarebefordras till serverdelen. Inga ytterligare regler med lägre prioritet kan blockera den här begäran.
  • Blockera: Begäran blockeras och WAF skickar ett svar till klienten utan att vidarebefordra begäran till serverdelen.
  • Logg: Begäran loggas i WAF-loggarna och WAF fortsätter att utvärdera regler med lägre prioritet.
  • Omdirigering: WAF omdirigerar begäran till den angivna URI:n. Den angivna URI:n är en principnivåinställning. När de har konfigurerats skickas alla begäranden som matchar omdirigeringsåtgärden till den URI:n.

WAF-regler

En WAF-princip kan bestå av två typer av säkerhetsregler:

  • anpassade regler: regler som du skapar själv
  • hanterade regeluppsättningar: Azure-hanterad förkonfigurerad uppsättning regler

Anpassade regler

Anpassade regler kan ha matchningsregler och regler för hastighetskontroll.

Du kan konfigurera följande anpassade matchningsregler:

  • IP-lista och blocklista: Du kan styra åtkomsten till dina webbprogram baserat på en lista över klientens IP-adresser eller IP-adressintervall. Både IPv4- och IPv6-adresstyper stöds. IP-listregler använder Ip-adressen RemoteAddress som finns i rubriken X-Forwarded-For-begäran och inte den SocketAddress som WAF ser. IP-listor kan konfigureras för att antingen blockera eller tillåta begäranden där RemoteAddress IP matchar en IP-adress i listan. Om du har ett krav på att blockera begäran om käll-IP-adressen som WAF ser, till exempel proxyserveradressen om användaren finns bakom en proxyserver, bör du använda Azure Front Door-standard- eller premiumnivåerna. Mer information finns i Konfigurera en IP-begränsningsregel med en Web Application Firewall för Azure Front Door för mer information.

  • Geografisk åtkomstkontroll: Du kan styra åtkomsten till dina webbprogram baserat på landskoden som är associerad med en klients IP-adress.

  • HTTP-parameterbaserad åtkomstkontroll: Du kan basera regler på strängmatchningar i HTTP/HTTPS-begärandeparametrar. Till exempel frågesträngar, POST args, begärande-URI, begärandehuvud och begärandetext.

  • Begär metodbaserad åtkomstkontroll: Du baserar regler på HTTP-begärandemetoden för begäran. Till exempel GET, PUT eller HEAD.

  • Storleksbegränsning: Du kan basera regler på längden på vissa delar av en begäran, till exempel frågesträng, URI eller begärandetext.

En regel för hastighetskontroll begränsar onormalt hög trafik från alla klient-IP-adresser.

  • Regler för hastighetsbegränsning: Du kan konfigurera ett tröskelvärde för antalet webbbegäranden som tillåts från en klient-IP-adress under en minut. Den här regeln skiljer sig från en IP-lista baserad anpassad regel för tillåt/blockera som antingen tillåter alla eller blockerar alla förfrågningar från en klient-IP-adress. Hastighetsgränser kan kombineras med fler matchningsvillkor, till exempel HTTP(S)-parametermatchningar för detaljerad hastighetskontroll.

Azure-hanterade regeluppsättningar

Azure-hanterade regeluppsättningar är ett enkelt sätt att distribuera skydd mot en gemensam uppsättning säkerhetshot. Eftersom dessa regeluppsättningar hanteras av Azure uppdateras reglerna efter behov för att skydda mot nya attacksignaturer. Den azure-hanterade standardregeluppsättningen innehåller regler mot följande hotkategorier:

  • Skriptkörning över flera webbplatser
  • Java-attacker
  • Lokal filinkludering
  • PHP-inmatningsattacker
  • Fjärrkommandokörning
  • Införande av fjärrfil
  • Sessionskorrigering
  • Skydd mot SQL-inmatning
  • Protokollanfallare

Versionsnumret för standardregeluppsättningen ökar när nya attacksignaturer läggs till i regeluppsättningen. Standardregeluppsättningen är aktiverad som standard i identifieringsläge i dina WAF-principer. Du kan inaktivera eller aktivera enskilda regler i standardregeluppsättningen för att uppfylla dina programkrav. Du kan också ange specifika åtgärder (ALLOW/BLOCK/REDIRECT/LOG) per regel. Standardåtgärden för den hanterade standardregeluppsättningen är Blockera.

Anpassade regler tillämpas alltid innan regler i standardregeluppsättningen utvärderas. Om en begäran matchar en anpassad regel tillämpas motsvarande regelåtgärd. Begäran blockeras eller skickas till serverdelen. Inga andra anpassade regler eller reglerna i standardregeluppsättningen bearbetas. Du kan också ta bort standardregeluppsättningen från dina WAF-principer.

Konfiguration

Du kan konfigurera och distribuera alla WAF-regeltyper med hjälp av mallarna Azure Portal, REST API:er, Azure Resource Manager och Azure PowerShell.

Övervakning

Övervakning för WAF med CDN är integrerad med Azure Monitor för att spåra aviseringar och enkelt övervaka trafiktrender.

Nästa steg