Så här fungerar Azure Web Application Firewall

  • 12 minuter

Du är bekant med de grundläggande funktionerna och fördelarna med Azure Web Application Firewall. Nu ska vi undersöka hur Azure Web Application Firewall fungerar. I synnerhet ska vi överväga hur funktioner som regeluppsättningar och regelgrupper tillåter Azure Web Application Firewall för att skydda webbappar från vanliga kryphål. Den här informationen hjälper dig att utvärdera om Azure Web Application Firewall är rätt lösning för ditt företag.

Distribueringsalternativ

Du kan distribuera Azure Web Application Firewall som en del av en Azure-klientdelslösning för dina webbappar. Du börjar med att skapa en Azure Web Application Firewall-princip som innehåller följande inställningar:

  • Vilken produktintegrering du vill använda
  • Vilken hanterad regeluppsättning du vill använda
  • Alla anpassade regler som du vill lägga till
  • Vilket läge du vill använda

Microsofts hanterade regeluppsättningar, regelgrupper och regler

Azure Web Application Firewall förhindrar kända kryphål genom att tillämpa regler på en apps inkommande HTTP/HTTPS-begäranden. En regel är en brandväggskod som är utformad för att identifiera och förhindra ett visst hot.

De regler som Azure Web Application Firewall använder för att identifiera och blockera vanliga sårbarheter är främst hanterade regler som tillhör olika regelgrupper. Varje regelgrupp är en samling regler och en hanterad regeluppsättning är en samling regelgrupper. Hanterade regeluppsättningar inkluderar Microsoft Threat Intelligence-baserade regelgrupper, CVE-regelgrupper (Common Vulnerabilities and Exposures) och grundläggande regelgrupper (CRS).

CRS-reglerna definieras av Open Web Application Security Project (OWASP). Microsofts team med säkerhetsexperter kodar, underhåller och uppdaterar hanterade regler. Reglerna ändras eller läggs till efter behov. När en hanterad regel ändras uppdaterar Microsoft Azure Web Application Firewall automatiskt och utan avbrott i appen.

Följande skärmbild visar några av reglerna och regelgrupperna i Microsofts standardregeluppsättning 2.1 (DRS2.1). Detta bör ge dig en uppfattning om hur djupt skydd som erbjuds av Azure Web Application Firewall.

Screen shot show WAF managed rules.

Robotregler

Robotregler identifierar dåliga robotar, bra robotar och okända robotar baserat på Microsoft Threat Intelligence och upphovsrättsskyddade WAF-regler.

Screenshot showing WAF bot rules.

Anpassade regler

De hanterade reglerna som Azure Web Application Firewall erbjuder kanske inte täcker ett specifikt hot som dina webbprogram upplever. I så fall kan du skapa en anpassad regel. Du kan skapa anpassade regler genom att skapa villkor som innehåller följande komponenter:

  • Matchningstyp som geoplats, IP-adress, storlek, sträng
  • Matcha variabler som RequestHeader, QueryString, RequestUri, RequestBody, Cookies eller PostArgs
  • HTTP/HTTPS-begärandemetoder som POST eller PUT
  • Operatorer som EqualContains, Regex, Begins with, Any, Ends with
  • En åtgärd som Tillåt, Blockera, Logga eller Omdirigering

Geo-filtrering

Som standard svarar WAF på alla användarbegäranden oavsett var begäran kommer ifrån. I vissa scenarier kanske du vill begränsa åtkomsten till webbappen efter länder/regioner. Med den anpassade regeln för geofiltrering kan du definiera en specifik sökväg på slutpunkten för att antingen tillåta eller blockera åtkomst från angivna länder/regioner. Geofiltreringsregeln använder en lands-/regionkod med två bokstäver.

För en geofiltreringsregel är en matchningsvariabel antingen RemoteAddr eller SocketAddr. RemoteAddr är den ursprungliga klientens IP-adress som vanligtvis skickas via X-Forwarded-For-begärandehuvudet. SocketAddr är källans IP-adress som WAF ser. Om användaren finns bakom en proxyserver är SocketAddr ofta proxyserveradressen.

Du kan kombinera ett GeoMatch-villkor och ett REQUEST_URI strängmatchningsvillkor för att skapa en sökvägsbaserad geofiltreringsregel.

IP-begränsning

Anpassade regler för Azure Web Application Firewall styr åtkomsten till webbprogram genom att ange en lista över IP-adresser eller IP-adressintervall.

Med den anpassade regeln för IP-begränsning kan du styra åtkomsten till dina webbprogram. Det gör den genom att ange en IP-adress eller ett IP-adressintervall i CIDR-format (Classless Inter-Domain Routing).

Som standard är webbappen tillgänglig från Internet. Ibland vill du dock begränsa åtkomsten till klienter från en lista över kända IP-adresser eller IP-adressintervall. Du kan uppnå detta genom att skapa en IP-matchningsregel som blockerar åtkomsten till webbappen från IP-adresser som inte anges i den anpassade regeln.

Frekvensbegränsning

Anpassade regler för Azure Web Application Firewall stöder hastighetsbegränsning för att styra åtkomsten baserat på matchande villkor och priserna för inkommande begäranden.

Med den här anpassade regeln kan du identifiera onormalt höga trafiknivåer och blockera vissa typer av överbelastningsattacker på programnivå. Hastighetsbegränsning skyddar dig också mot klienter som av misstag har felkonfigurerats för att skicka stora mängder begäranden under en kort tidsperiod. Den anpassade regeln definieras av varaktigheten för hastighetsbegränsningsräkning (intervall på antingen en minut eller fem minuter) och tröskelvärdet för hastighetsgränsen (det maximala antalet begäranden som tillåts under varaktigheten för hastighetsbegränsningen).

Identifieringsläge jämfört med förebyggande läge

Azure Web Application Firewall kan fungera i något av två lägen. Vilket läge du väljer beror på hur du vill att brandväggen ska hantera inkommande HTTP/HTTPS-begäranden som matchar någon av dess regler:

  • Identifieringsläge: Loggar begäran men tillåter att begäran går igenom.
  • Förebyggande läge: Loggar begäran men tillåter inte att begäran går igenom.

Ett vanligt scenario är att köra Azure Web Application Firewall i identifieringsläge när du testar en app. I identifieringsläge kan du söka efter två typer av problem:

  • Falska positiva identifieringar: Legitima begäranden om att brandväggen flaggar som skadlig.
  • Falska negativa: Skadliga begäranden som brandväggen tillåter.

När appen är redo att distribueras växlar du till förebyggande läge.

Använda Microsoft Sentinel med Azure WAF

Azure WAF i kombination med Microsoft Sentinel kan tillhandahålla händelsehantering av säkerhetsinformation för WAF-resurser. Med Hjälp av Microsoft Sentinel kan du komma åt WAF-dataanslutningen till Sentinel med hjälp av Log Analytics. WAF-arbetsböckerna visar analys för WAF på Azure Front Door och WAF på Application Gateway. WAF-analysreglerna identifierar SQLi- och XSS-attacker från AFD- och Application Gateway-loggar. MED WAF Notebook kan du undersöka SQL-inmatningsincidenter på Azure Front Door.

Screenshot showing Sentinel WAF settings.

Screenshot showing WAF events.