Azure Front Door Service'te Azure Web Uygulaması Güvenlik Duvarı hakkında sık sorulan sorular

Azure WAF, web uygulamalarınızı SQL ekleme, siteler arası betik oluşturma ve diğer web açıklarından yararlanma gibi yaygın tehditlerden korumaya yardımcı olan bir web uygulaması güvenlik duvarıdır. Web uygulamalarınıza erişimi denetlemek için özel ve yönetilen kuralların birleşiminden oluşan bir WAF ilkesi tanımlayabilirsiniz.

Azure WAF ilkesi, Application Gateway veya Azure Front Door'da barındırılan web uygulamalarına uygulanabilir.

Azure Front Door, yüksek oranda ölçeklenebilir, küresel olarak dağıtılmış bir uygulama ve içerik teslim ağıdır. Azure WAF, Front Door ile tümleştirildiğinde, Azure ağ uç noktasında, sanal ağınıza girmeden önce saldırı kaynaklarına yakın hizmet reddi ve hedeflenen uygulama saldırılarını durdurur ve performanstan ödün vermeden koruma sunar.

Front Door TLS boşaltma özelliği sunar. WAF, Front Door ile yerel olarak tümleşiktir ve şifresi çözüldükten sonra isteği inceleyebilir.

Evet. IPv4 ve IPv6 için IP kısıtlaması yapılandırabilirsiniz.

Değişen tehditlere ayak uydurmak için elimizden geleni yapıyoruz. Yeni bir kural güncelleştirildikten sonra, yeni bir sürüm numarasıyla Varsayılan Kural Kümesi'ne eklenir.

WAF ilkesi dağıtımlarının çoğu 20 dakikadan daha fazla sürer. Güncelleştirme genel olarak tüm uç konumlarında tamamlanır tamamlanmaz ilkenin geçerli olmasını bekleyebilirsiniz.

Front Door ile tümleştirildiğinde WAF küresel bir kaynaktır. Aynı yapılandırma tüm Front Door konumlarında geçerlidir.

Azure Front Door hizmet etiketini kullanarak yalnızca Front Door giden IP adresi aralıklarına izin vermek ve İnternet'ten doğrudan erişimi reddetmek için arka ucunuzdaki IP Access Control Listesi'ni yapılandırabilirsiniz. Hizmet etiketleri, sanal ağınızda kullanmanız için desteklenir. Ayrıca, X-Forwarded-Host HTTP üst bilgi alanının web uygulamanız için geçerli olduğunu doğrulayabilirsiniz.

Azure'da WAF ilkeleri uygularken iki seçenek vardır. Azure Front Door ile WAF, küresel olarak dağıtılmış bir uç güvenlik çözümüdür. Application Gateway ile WAF bölgesel ve ayrılmış bir çözümdür. Genel performans ve güvenlik gereksinimlerinize göre bir çözüm seçmenizi öneririz. Daha fazla bilgi için bkz . Azure'ın uygulama teslim paketiyle yük dengeleme.

WaF'yi mevcut bir uygulamada etkinleştirdiğinizde, WAF kurallarının yasal trafiği tehdit olarak algıladığı hatalı pozitif algılamalar yaygın olarak görülür. Kullanıcılarınız üzerindeki etki riskini en aza indirmek için aşağıdaki işlemi yapmanızı öneririz:

• Siz bu işlem üzerinde çalışırken WAF'nin istekleri engellemediğinden emin olmak için WAF'yi Algılama modunda etkinleştirin. Bu adım WAF'de test amacıyla önerilir.

  Önemli

  Bu işlem, önceliğiniz uygulamanızın kullanıcılarına yönelik rahatsızlığı en aza indirmek olduğunda WAF'nin yeni veya mevcut bir çözümde nasıl etkinleştirileceği açıklanmaktadır. Saldırı altındaysanız veya çok büyük bir tehdit altındaysanız WAF'yi önleme modunda hemen dağıtmak ve zaman içinde WAF'yi izlemek ve ayarlamak için ayarlama işlemini kullanmak isteyebilirsiniz. Bu büyük olasılıkla yasal trafiğinizin bir kısmının engellenmesine neden olur. Bu nedenle bunu yalnızca tehdit altında olduğunuzda yapmanızı öneririz.

• WAF'yi ayarlamak için kılavuzumuzu izleyin. Bu işlem tanılama günlüğünü etkinleştirmenizi, günlükleri düzenli olarak gözden geçirmenizi ve kural dışlamaları ve diğer risk azaltmaları eklemenizi gerektirir.
• Yasal trafiğin engellenmediğini onaylayana kadar günlükleri düzenli olarak denetledikten sonra bu işlemi tekrarlayın. Tüm işlem birkaç hafta sürebilir. İdeal olarak, yaptığınız her ayarlama değişikliğinin ardından daha az hatalı pozitif algılama görmeniz gerekir.
• Son olarak ÖNLEME modunda WAF'yi etkinleştirin.
• WAF'yi üretimde çalıştırdığınızda bile, diğer hatalı pozitif algılamaları belirlemek için günlükleri izlemeye devam etmelisiniz. Günlükleri düzenli olarak gözden geçirmek, engellenen gerçek saldırı girişimlerini belirlemenize de yardımcı olur.

Şu anda ModSec CRS 3.0, CRS 3.1 ve CRS 3.2 kuralları yalnızca Application Gateway üzerinde WAF ile desteklenmektedir. Hız sınırlama ve Azure tarafından yönetilen Varsayılan Kural Kümesi kuralları yalnızca Azure Front Door'da WAF ile desteklenir.

Azure ağ uçlarında küresel olarak dağıtılan Azure Front Door, büyük hacimli saldırıları emebilir ve coğrafi olarak yalıtabilir. Bilinen imzalara sahip http(s) saldırılarını otomatik olarak engellemek ve sınırlamak için özel WAF ilkesi oluşturabilirsiniz. Daha fazla bilgi için arka uçlarınızın dağıtıldığı sanal ağda DDoS Ağ Koruması'nı etkinleştirebilirsiniz. Azure DDoS Koruması müşterileri, bir saldırı sırasında anında yardım almak için maliyet koruması, SLA garantisi ve DDoS Hızlı Yanıt Ekibi'nden uzmanlara erişim gibi ek avantajlar elde eder. Daha fazla bilgi için bkz. Front Door'da DDoS koruması.

İstekler farklı Front Door sunucuları tarafından işlenirken isteklerin hız sınırı tarafından hemen engellendiğini göremeyebilirsiniz. Daha fazla bilgi için bkz . Hız sınırlama ve Front Door sunucuları.

Front Door WAF aşağıdaki içerik türlerini destekler:

• DRS 2.0

  Yönetilen kurallar

  • uygulama/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Özel kurallar

  • application/x-www-form-urlencoded

• DRS 1.x

  Yönetilen kurallar

  • application/x-www-form-urlencoded
  • metin/düz

  Özel kurallar

  • application/x-www-form-urlencoded

Hayır, bunu yapamazsınız. AFD profilinin ve WAF ilkesinin aynı abonelikte olması gerekir.

Sonraki adımlar

• Azure Web Uygulaması Güvenlik Duvarı hakkında bilgi edinin.
• Azure Front Door hakkında daha fazla bilgi edinin.