Azure Front Door Service'te Azure Web Uygulaması Güvenlik Duvarı hakkında sık sorulan sorular

Azure WAF, web uygulamalarınızı SQL ekleme, siteler arası betik oluşturma ve diğer web açıklarından yararlanma gibi yaygın tehditlere karşı korumaya yardımcı olan bir web uygulaması güvenlik duvarıdır. Web uygulamalarınıza erişimi denetlemek için özel ve yönetilen kuralların birleşiminden oluşan bir WAF ilkesi tanımlayabilirsiniz.

Azure WAF ilkesi, Application Gateway veya Azure Front Door üzerinde barındırılan web uygulamalarına uygulanabilir.

Azure Front Door, yüksek oranda ölçeklenebilir, genel olarak dağıtılmış bir uygulama ve içerik teslim ağıdır. Azure WAF, Front Door ile tümleştirildiğinde Azure ağ uç noktasında hizmet reddi ve hedeflenen uygulama saldırılarını durdurur ve sanal ağınıza girmeden önce saldırı kaynaklarına yakındır ve performanstan ödün vermeden koruma sunar.

Front Door, TLS boşaltma özelliği sunar. WAF, Front Door ile yerel olarak tümleşiktir ve şifresi çözüldükten sonra bir isteği inceleyebilir.

Evet. IPv4 ve IPv6 için IP kısıtlamasını yapılandırabilirsiniz. Daha fazla bilgi için bkz . IPv6 Benimseme: Front Door'da Azure WAF'yi geliştirme.

Değişen tehdit ortamına ayak uydurmak için elimizden geleni yapıyoruz. Yeni bir kural güncelleştirildikten sonra, yeni bir sürüm numarasıyla Varsayılan Kural Kümesi'ne eklenir.

Çoğu WAF ilkesi dağıtımı 20 dakikadan daha fazla sürer. Güncelleştirme tüm uç konumlarında genel olarak tamamlanır tamamlanmaz ilkenin etkili olmasını bekleyebilirsiniz.

Front Door ile tümleştirildiğinde WAF genel bir kaynaktır. Aynı yapılandırma tüm Front Door konumlarında geçerlidir.

Azure Front Door hizmet etiketini kullanarak yalnızca Front Door giden IP adresi aralıklarına izin vermek ve İnternet'ten doğrudan erişimi reddetmek için arka uçta IP Erişim Denetim Listesi'ni yapılandırabilirsiniz. Hizmet etiketleri, sanal ağınızda kullanmanız için desteklenir. Ayrıca, X-Forwarded-Host HTTP üst bilgi alanının web uygulamanız için geçerli olduğunu doğrulayabilirsiniz.

Azure'da WAF ilkelerini uygularken iki seçenek vardır. Azure Front Door ile WAF, genel olarak dağıtılmış bir uç güvenlik çözümüdür. Application Gateway ile WAF, bölgesel ve ayrılmış bir çözümdür. Genel performans ve güvenlik gereksinimlerinize göre bir çözüm seçmenizi öneririz. Daha fazla bilgi için bkz . Azure'ın uygulama teslim paketiyle yük dengeleme.

Mevcut bir uygulamada WAF'yi etkinleştirdiğinizde, WAF kurallarının meşru trafiği tehdit olarak algıladığı hatalı pozitif algılamalar yaygın olarak görülür. Kullanıcılarınız üzerindeki etki riskini en aza indirmek için aşağıdaki işlemi yapmanızı öneririz:

• Bu işlem üzerinde çalışırken WAF'nin istekleri engellemediğinden emin olmak için WAF'yi Algılama modunda etkinleştirin. Bu adım WAF üzerinde test amacıyla önerilir.

  Önemli

  Bu işlem, önceliğiniz uygulamanızın kullanıcılarına yönelik rahatsızlığı en aza indirmek olduğunda WAF'nin yeni veya mevcut bir çözümde nasıl etkinleştirileceği açıklanır. Saldırı veya yakın bir tehdit altındaysanız, BUNUN yerine WAF'yi Önleme modunda hemen dağıtmak ve zaman içinde WAF'yi izlemek ve ayarlamak için ayarlama işlemini kullanmak isteyebilirsiniz. Bu muhtemelen bazı yasal trafiğinizin engellenmesine neden olur. Bu nedenle bunu yalnızca tehdit altında olduğunuzda yapmanızı öneririz.

• WAF'yi ayarlamak için kılavuzumuzu izleyin. Bu işlem, tanılama günlüğünü etkinleştirmenizi, günlükleri düzenli olarak gözden geçirmenizi ve kural dışlamaları ve diğer risk azaltmaları eklemenizi gerektirir.
• Yasal trafiğin engellenmediğini onaylayana kadar günlükleri düzenli olarak denetleerek bu işlemi yineleyin. Tüm işlem birkaç hafta sürebilir. İdeal olarak, yaptığınız her ayarlama değişikliğinin ardından daha az hatalı pozitif algılama görmeniz gerekir.
• Son olarak Önleme modunda WAF'yi etkinleştirin.
• WAF'yi üretim ortamında çalıştırdıktan sonra bile, diğer hatalı pozitif algılamaları belirlemek için günlükleri izlemeye devam etmelisiniz. Günlükleri düzenli olarak gözden geçirmek, engellenen gerçek saldırı girişimlerini belirlemenize de yardımcı olur.

Şu anda ModSec CRS 3.0, CRS 3.1 ve CRS 3.2 kuralları yalnızca Application Gateway üzerinde WAF ile desteklenmektedir. Hız sınırlama ve Azure tarafından yönetilen Varsayılan Kural Kümesi kuralları yalnızca Azure Front Door'da WAF ile desteklenir.

Azure ağ uçlarında genel olarak dağıtılan Azure Front Door, büyük hacimli saldırıları emebilir ve coğrafi olarak yalıtabilir. Bilinen imzalara sahip http(ler) saldırılarını otomatik olarak engellemek ve sınırlamak için özel WAF ilkesi oluşturabilirsiniz. Daha fazla bilgi için arka uçlarınızın dağıtıldığı sanal ağda DDoS Ağ Koruması'nı etkinleştirebilirsiniz. Azure DDoS Koruması müşterileri, bir saldırı sırasında anında yardım almak için maliyet koruması, SLA garantisi ve DDoS Hızlı Yanıt Ekibi'nden uzmanlara erişim gibi ek avantajlar elde eder. Daha fazla bilgi için bkz . Front Door'da DDoS koruması.

İstekler farklı Front Door sunucuları tarafından işlenirken isteklerin hız sınırı tarafından hemen engellendiğini göremeyebilirsiniz. Daha fazla bilgi için bkz . Hız sınırlama ve Front Door sunucuları.

Front Door WAF aşağıdaki içerik türlerini destekler:

• DRS 2.0

  Yönetilen kurallar

  • application/json
  • uygulama/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Özel kurallar

  • application/x-www-form-urlencoded

• DRS 1.x

  Yönetilen kurallar

  • application/x-www-form-urlencoded
  • text/plain

  Özel kurallar

  • application/x-www-form-urlencoded

Hayır, bunu yapamazsınız. AFD profilinin ve WAF ilkesinin aynı abonelikte olması gerekir.

Sonraki adımlar

• Azure Web Uygulaması Güvenlik Duvarı hakkında bilgi edinin.
• Azure Front Door hakkında daha fazla bilgi edinin.