Implementera en brandvägg för webbprogram i Azure Front Door

6 minuter

Brandväggen för webbaserade program (WAF) tillhandahåller ett centraliserat skydd för dina webbprogram mot vanliga sårbarheter och hot. Webbprogram utsätts i allt högre grad för skadliga attacker som utnyttjar vanliga sårbarheter. SQL-inmatning och skript för flera platser är några av de vanligaste attackerna.

WAF overview diagram showing a global WAF policy can allow or deny access to resources in Azure regions or on-premises.

Det är svårt att förhindra sådana attacker i programkod. Det kan kräva rigoröst underhåll, korrigeringar och övervakning i flera lager av programtopologin. En centraliserad brandvägg för webbprogram gör säkerhetshanteringen mycket enklare. En WAF ger också programadministratörer bättre skydd mot hot och intrång.

En WAF-lösning kan reagera snabbare på ett säkerhetshot genom att centralt korrigera en känd säkerhetsrisk, i stället för att skydda varje enskild webbapp.

Principlägen för brandvägg för webbaserade program

När du skapar en WAF-princip (Web Application Firewall) är WAF-principen som standard i identifieringsläge. I identifieringsläge blockerar WAF inte några begäranden. I stället loggas begäranden som matchar WAF-reglerna i WAF-loggarna. Om du vill se waf i praktiken kan du ändra lägesinställningarna från Identifiering till Skydd. I förebyggande läge blockeras och loggas begäranden som matchar regler som definieras i STANDARDregeluppsättning (DRS) i WAF-loggar.

Screenshot that shows the WAF policy modes.

Regelgrupper och regler för standardregeluppsättning för webbaserade program

Azure Front Door-brandväggen (WAF) skyddar webbprogram från vanliga sårbarheter och sårbarheter. Azure-hanterade regeluppsättningar är ett enkelt sätt att distribuera skydd mot en gemensam uppsättning säkerhetshot. Eftersom sådana regeluppsättningar hanteras av Azure uppdateras reglerna efter behov för att skydda mot nya attacksignaturer.

Hanterade regler

Azure-hanterad standardregeluppsättning innehåller regler mot följande hotkategorier:

Skriptkörning över flera webbplatser
Java-attacker
Lokal fil inkludering
PHP-inmatningsattacker
Fjärrkommandokörning
Fjärrfilinkludering
Sessionsfixering
Skydd mot SQL-inmatning
Protokollangripare

Azure-hanterad standardregeluppsättning är aktiverad som standard. Den aktuella standardversionen är DefaultRuleSet_2.1. Andra regeluppsättningar är tillgängliga i listrutan.

Om du vill inaktivera en enskild regel markerar du kryssrutan framför regelnumret och väljer Inaktivera överst på sidan. Om du vill ändra åtgärdstyper för enskilda regler i regeluppsättningen markerar du kryssrutan framför regelnumret och väljer sedan Ändra åtgärd överst på sidan.

Screenshot that shows WAF policy managed rules.

Anpassade regler

Med Azure WAF med Front Door kan du styra åtkomsten till dina webbprogram baserat på de villkor du definierar. En anpassad WAF-regel består av ett prioritetsnummer, regeltyp, matchningsvillkor och en åtgärd. Det finns två typer av anpassade regler: matcha regler och regler för hastighetsbegränsning. En matchningsregel styr åtkomsten baserat på en uppsättning matchande villkor medan en hastighetsgränsregel styr åtkomsten baserat på matchande villkor och priserna för inkommande begäranden. Du kan inaktivera en anpassad regel för att förhindra att den utvärderas, men ändå behålla konfigurationen.

När du skapar en WAF-princip kan du skapa en anpassad regel genom att välja Lägg till anpassad regel under avsnittet Anpassade regler . Detta startar konfigurationssidan för anpassad regel.

Screenshot that shows the WAF policy add custom rule.

Exempelbilden nedan visar konfigurationen av en anpassad regel för att blockera en begäran om frågesträngen innehåller blockme.

Screenshot that shows the WAF policy custom rule configuration.

Skapa en brandväggsprincip för webbaserade program i Azure Front Door

I det här avsnittet beskrivs hur du skapar en grundläggande princip för Azure Web Application Firewall (WAF) och tillämpar den på en profil i Azure Front Door.

De viktigaste stegen för att skapa en WAF-princip på Azure Front Door med hjälp av Azure-portalen är:

Skapa en brandväggsprincip för webbprogram

Det är här du skapar en grundläggande WAF-princip med hanterad standardregeluppsättning (DRS).
Associera WAF-principen med en Front Door-profil

Det är här du associerar WAF-principen som skapades i steg 1 med en Front Door-profil. Den här associationen kan göras när WAF-principen skapas, eller så kan den göras på en tidigare skapad WAF-princip. Under associationen anger du Front Door-profilen och domänerna i Front Door-profilen som du vill att WAF-principen ska tillämpas på. Under den här fasen visas domänen som nedtonad om domänen är associerad med en WAF-princip. Du måste först ta bort domänen från den associerade principen och sedan associera domänen igen till en ny WAF-princip.
Konfigurera WAF-principinställningar och -regler

Det här är ett valfritt steg där du kan konfigurera principinställningar som Läge (förebyggande eller identifiering) och konfigurera hanterade regler och anpassade regler.

Information om hur du visar detaljerade steg för alla dessa uppgifter finns i Självstudie: Skapa en brandväggsprincip för webbprogram på Azure Front Door med hjälp av Azure-portalen.

Testa dina kunskaper

Vilka är de två lägen som en WAF-princip kan använda?

WAF-principen kan antingen vara i standardläge eller anpassat läge.

WAF-principen kan antingen vara i standardregeluppsättningsläge eller identifieringsläge.

WAF-principen kan antingen vara i förebyggande läge eller identifieringsläge.

Vilka är de två typerna av anpassade regler i en WAF-princip?

Strängregler och matchningsregler.

Matcha regler och regler för hastighetsbegränsning.

Prioritetsregler och regler för hastighetsbegränsning.

Du måste svara på alla frågor innan du kontrollerar ditt arbete.

Fortsätt