Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Application Gateway üzerindeki Azure Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızı yaygın güvenlik açıklarına karşı etkin bir şekilde korur. Web uygulamaları kötü amaçlı saldırılar için daha sık hedef haline geldikçe, bu saldırılar genellikle SQL ekleme ve siteler arası betik oluşturma gibi iyi bilinen güvenlik açıklarından yararlanıyor.
Application Gateway'de WAF, Open Web Application Security Project'ten (OWASP) alınan Temel Kural Kümesi'ni (CRS) temel alır.
Aşağıdaki WAF özelliklerinin tümü bir WAF ilkesinin içinde yer alır. Birden çok ilke oluşturabilir ve bunları bir Application Gateway ile, tek tek dinleyicilerle veya Application Gateway'de yol tabanlı yönlendirme kurallarıyla ilişkilendirerek gerekirse Application Gateway'inizin arkasındaki her site için ayrı ilkeler tanımlamanızı sağlayabilirsiniz. WAF ilkeleri hakkında daha fazla bilgi için bkz. Application Gateway için Web Uygulaması Güvenlik Duvarı ilkeleri oluşturma.
Uyarı
Application Gateway, WAF SKU'sunun iki sürümüne sahiptir: Application Gateway WAF_v1 ve Application Gateway WAF_v2. WAF ilkesi ilişkilendirmeleri yalnızca Application Gateway WAF_v2 SKU için desteklenir.
Application Gateway bir uygulama teslim denetleyicisi (ADC) olarak çalışır. Önceden Güvenli Yuva Katmanı (SSL) olarak bilinen Aktarım Katmanı Güvenliği (TLS) sunar; sonlandırma, tanımlama bilgisi tabanlı oturum yapışkanlığı, dairesel yük dağıtımı, içerik tabanlı yönlendirme, birden çok web sitesi barındırma özelliği ve güvenlik geliştirmeleri.
Application Gateway, TLS ilke yönetimi ve uçtan uca TLS desteği aracılığıyla güvenliği artırır. WAF'yi Application Gateway ile tümleştirerek uygulama güvenliğini iyileştirir. Bu birleşim, web uygulamalarınızı yaygın güvenlik açıklarına karşı etkin bir şekilde korur ve merkezi olarak yönetilebilir, yapılandırılması kolay bir konum sunar.
Sosyal haklar
Bu bölümde, Application Gateway'de WAF'nin sağladığı temel avantajlar açıklanmaktadır.
Koruma
Arka uç kodunda değişiklik yapmadan web uygulamalarınızı web güvenlik açıklarından ve saldırılarından koruyun.
Aynı anda birden çok web uygulamasını koruyun. Application Gateway örneği, bir web uygulaması güvenlik duvarı tarafından korunan en fazla 40 web sitesi barındırabilir.
Aynı WAF'nin arkasındaki farklı siteler için özel WAF ilkeleri oluşturun.
IP Saygınlığı kural kümesiyle web uygulamalarınızı kötü amaçlı botlardan koruyun.
Uygulamanızı DDoS saldırılarına karşı koruyun. Daha fazla bilgi için bkz . Uygulama DDoS Koruması.
İzleme
Gerçek zamanlı WAF günlüğü kullanarak web uygulamalarınıza yönelik saldırıları izleyin. Günlük, WAF uyarılarını izlemek ve eğilimleri kolayca izlemek için Azure İzleyici ile tümleşiktir.
Application Gateway WAF, Bulut için Microsoft Defender ile tümleşiktir. Bulut için Defender tüm Azure, karma ve çoklu bulut kaynaklarınızın güvenlik durumunun merkezi bir görünümünü sağlar.
Özelleştirme
WAF kurallarını ve kural gruplarını uygulama gereksinimlerinize uyacak şekilde özelleştirin ve hatalı pozitif sonuçları ortadan kaldırın.
WAF'nizin arkasında bulunan her site için, siteye özgü yapılandırmaya izin vermek amacıyla bir WAF Politikası ilişkilendirin.
Uygulamanızın gereksinimlerine uygun özel kurallar oluşturma
Özellikler
- SQL enjeksiyon koruması.
- Siteler arası betik koruması.
- Komut ekleme, HTTP isteği kaçakçılığı, HTTP yanıt bölme ve uzak dosya ekleme gibi diğer yaygın web saldırılarına karşı koruma.
- HTTP protokolü ihlallerine karşı koruma.
- HTTP protokolü anomalilerine karşı, eksik "host", "user-agent" ve "accept" üst bilgileri için koruma.
- Dizicilere ve tarayıcılara karşı koruma.
- Yaygın uygulama yanlış yapılandırmalarının algılanması (örneğin, Apache ve IIS).
- Alt ve üst sınırlarla yapılandırılabilir istek boyutu sınırları.
- Dışlama listeleri, WAF değerlendirmesinden belirli istek özniteliklerini atlamanıza olanak tanır. Yaygın bir örnek, kimlik doğrulaması veya parola alanları için kullanılan Active Directory tarafından eklenen belirteçlerdir.
- Uygulamalarınızın belirli gereksinimlerine uygun özel kurallar oluşturun.
- Belirli ülkelerin/bölgelerin uygulamalarınıza erişmesine izin vermek veya bunları engellemek için trafiği coğrafi olarak filtreleyin.
- Bot risk azaltma kural kümesiyle uygulamalarınızı botlardan koruyun.
- İstek gövdesinde JSON ve XML'yi inceleme
WAF ilkesi ve kuralları
Application Gateway'de bir Web Uygulaması Güvenlik Duvarı etkinleştirmek için bir WAF ilkesi oluşturmanız gerekir. Bu ilke, tüm yönetilen kuralların, özel kuralların, dışlamaların ve dosya karşıya yükleme sınırı gibi diğer özelleştirmelerin bulunduğu yerdir.
Bir WAF ilkesi yapılandırabilir ve bu ilkeyi koruma için bir veya daha fazla uygulama ağ geçidiyle ilişkilendirebilirsiniz. WAF ilkesi iki tür güvenlik kuralından oluşur:
Oluşturduğunuz özel kurallar
Azure tarafından yönetilen, önceden yapılandırılmış kural kümesi koleksiyonundan oluşan bir yönetilen kural kümesi.
Her ikisi de mevcut olduğunda, özel kurallar, yönetilen bir kural kümesindeki kuralların işlenmesinden önce ele alınır. Kural eşleşme koşulundan, öncelikten ve eylemden oluşur. Desteklenen eylem türleri şunlardır: ALLOW, BLOCK ve LOG. Yönetilen ve özel kuralları birleştirerek belirli uygulama koruma gereksinimlerinizi karşılayan tam olarak özelleştirilmiş bir ilke oluşturabilirsiniz.
İlke içindeki kurallar öncelik sırasına göre işlenir. Öncelik, işlenmek üzere kuralların sırasını tanımlayan benzersiz bir tamsayıdır. Daha küçük tamsayı değeri daha yüksek bir önceliği belirtir ve bu kurallar daha yüksek bir tamsayı değerine sahip kurallardan önce değerlendirilir. Bir kural eşleştirildikten sonra, kuralda tanımlanan ilgili eylem isteğe uygulanır. Böyle bir eşleşme işlendikten sonra, düşük önceliğe sahip kurallar daha fazla işlenmez.
Application Gateway tarafından sunulan bir web uygulamasının genel düzeyde, site düzeyinde veya URI düzeyinde kendisiyle ilişkilendirilmiş bir WAF ilkesi olabilir.
Çekirdek kural kümeleri
Application Gateway CRS 3.2, CRS 3.1 ve CRS 3.0 dahil olmak üzere birden çok kural kümesini destekler. Bu kurallar web uygulamalarınızı kötü amaçlı etkinliklerden korur. Daha fazla bilgi için bkz . Web Uygulaması Güvenlik Duvarı DRS ve CRS kural grupları ve kuralları.
Özel kurallar
Application Gateway özel kuralları da destekler. Özel kurallarla, WAF'ten geçen her istek için değerlendirilen kendi kurallarınızı oluşturabilirsiniz. Bu kurallar, yönetilen kural kümelerindeki kuralların geri kalanından daha yüksek önceliklidir. Bir dizi koşul karşılanırsa, izin vermek veya engellemek için bir eylem gerçekleştirilir. Özel kurallar hakkında daha fazla bilgi için bkz. Application Gateway için özel kurallar.
Coğrafi eşleşme işleci artık özel kurallar için kullanılabilir. Daha fazla bilgi için bkz. Geomatch özel kuralları .
Bot koruma kuralları kümesi
Yönetilen bot koruma kuralı kümesini etkinleştirerek tüm bot kategorilerinden gelen isteklerde özel eylemler gerçekleştirebilirsiniz.
Üç bot kategorisi desteklenir:
Kötü
Hatalı botlar, kötü amaçlı IP adreslerine sahip botlar ve kimliklerini tahrif eden botlardır. Kötü botlar, Microsoft Threat Intelligence akışının yüksek güvenilirlikli Kompromize IP Göstergeleri ve IP itibarı akışlarından alınan kötü amaçlı IP adreslerini içerir. Kötü botlar, kendilerini iyi botlar olarak tanımlayan botları da içerir, ancak IP adresleri meşru bot yayımcılarına ait değildir.
İyi
İyi Botlar güvenilir kullanıcı aracılarıdır. WAF politikası yapılandırması üzerinde ayrıntılı kontrol sağlamak için iyi bot kuralları birden fazla kategoriye ayrılır. Bu kategoriler şunlardır:
- doğrulanmış arama motoru botları (Googlebot ve Bingbot gibi)
- doğrulanmış bağlantı denetleyicisi botları
- doğrulanmış sosyal medya botları (Facebookbot ve LinkedInBot gibi)
- doğrulanmış reklam botları
- doğrulanmış içerik denetleyicisi botları
- doğrulanmış çeşitli botlar
Bilinmiyor
Bilinmeyen botlar, ek doğrulama gerektirmeden kullanıcı aracılarıdır. Bilinmeyen botlar, Microsoft Threat Intelligence akışının orta düzeyde güvenilirlikte olan Tehdit Göstergelerinden kaynaklanan kötü amaçlı IP adreslerini de içerir.
WAF platformu bot imzalarını etkin bir şekilde yönetir ve dinamik olarak güncelleştirir.
Bot koruması etkinleştirildiğinde, yapılandırılan eyleme göre bot kurallarıyla eşleşen gelen istekleri engeller, izin verir veya günlüğe kaydeder. Kötü amaçlı botları engeller, doğrulanmış arama motoru tarayıcılarına izin verir, bilinmeyen arama motoru tarayıcılarını engeller ve bilinmeyen botları varsayılan olarak günlüğe kaydeder. Farklı bot türlerini engellemek, izin vermek veya günlüğe kaydetmek için özel eylemler ayarlayabilirsiniz.
WAF günlüklerine depolama hesabından, olay hub'ından, log analytics'ten erişebilir veya günlükleri bir iş ortağı çözümüne gönderebilirsiniz.
Application Gateway bot koruması hakkında daha fazla bilgi için bkz. Application Gateway bot korumasında Web Uygulaması Güvenlik Duvarı.
WAF modları
Application Gateway WAF, aşağıdaki iki modda çalışacak şekilde yapılandırılabilir:
- Algılama modu: Tüm tehdit uyarılarını izler ve günlüğe kaydeder. Tanılama bölümünde, Application Gateway için tanılama günlüğünü açarsınız. Ayrıca WAF günlüğünün seçili ve açık olduğundan da emin olmanız gerekir. Web uygulaması güvenlik duvarı, Algılama modunda çalışırken gelen istekleri engellemez.
- Önleme modu: Kuralların algı yaptığı yetkisiz erişimleri ve saldırıları engeller. Saldırgan "403 yetkisiz erişim" özel durumu alır ve bağlantı kapatılır. Önleme modu bu tür saldırıları WAF günlüklerine kaydeder.
Uyarı
Yeni dağıtılan WAF'yi bir üretim ortamında kısa bir süre için Algılama modunda çalıştırmanız önerilir. Bunu yapmak, Önleme moduna geçmeden önce güvenlik duvarı günlüklerini alma ve özel durumları veya özel kuralları güncelleştirme fırsatı sağlar. Ayrıca beklenmeyen engellenen trafiğin oluşmasını azaltmaya da yardımcı olur.
WAF motoru
Web Uygulaması Güvenlik Duvarı (WAF) altyapısı, trafiği inceleyen ve bir isteğin olası bir saldırıyı gösteren bir imza içerip içermediğini algılayan bileşendir. CRS 3.2 veya üzerini kullandığınızda, Web Uygulaması Güvenlik Duvarınız size daha yüksek performans ve gelişmiş özellikler sunan yeni WAF altyapısını çalıştırır. CRS'nin önceki sürümlerini kullandığınızda WAF'niz eski bir altyapı üzerinde çalışır. Yeni özellikler yalnızca yeni Azure WAF altyapısında kullanılabilir.
WAF eylemleri
İstek bir kural koşuluyla eşleştiğinde hangi eylemin çalıştırileceğini seçebilirsiniz. Aşağıdaki eylemler desteklenir:
- İzin ver: İstek WAF'dan geçer ve arka uca iletilir. Daha düşük öncelikli kurallar bu isteği engelleyemez. İzin verme eylemleri yalnızca Bot Yöneticisi kural kümesi için geçerlidir ve Çekirdek Kural Kümesi için geçerli değildir.
- Engelle: İstek engellenir ve WAF, isteği arka uca iletmeden istemciye bir yanıt gönderir.
- Günlük: İstek WAF günlüklerine kaydedilir ve WAF düşük öncelikli kuralları değerlendirmeye devam eder.
- Anomali puanı: Bu eyleme sahip bir kural eşleştiğinde toplam anomali puanının artırıldığı CRS kural kümesi için varsayılan eylemdir. Anomali puanlaması, Bot Yöneticisi kural kümesine uygulanamaz.
Anomali Puanlama modu
OWASP,trafiğin engellenip engellenmeyeceğine karar vermek için iki moda sahiptir: Geleneksel mod ve Anomali Puanlama modu.
Geleneksel modda, herhangi bir kuralla eşleşen trafik, diğer kural eşleşmelerinden bağımsız olarak kabul edilir. Bu modu anlamak kolaydır. Ancak belirli bir istekle eşleşen kural sayısı hakkında bilgi eksikliği bir sınırlamadır. Bu nedenle Anomali Puanlama modu kullanıma sunulmuştur. OWASP 3 için varsayılan değerdir.x.
Anomali Puanlama modunda, güvenlik duvarı Önleme modundayken herhangi bir kuralla eşleşen trafik hemen engellenmez. Kuralların belirli bir önem derecesi vardır: Kritik, Hata, Uyarı veya Bildirim. Bu önem derecesi, anomali puanı olarak adlandırılan istek için sayısal bir değeri etkiler. Örneğin, bir Uyarı kuralı eşleşmesi puana 3 katkıda bulunur. Bir Kritik kural eşleşmesi 5'e katkıda bulunur.
Ciddiyet | Değer |
---|---|
Çok Önemli | 5 |
Hata | 4 |
Uyarı | 3 |
Duyuru | 2 |
Anomali Puanı'nın trafiği engellemesi için 5 eşiği vardır. Bu nedenle Application Gateway WAF'nin Önleme modunda bir isteği engellemesi için tek bir Kritik kural eşleşmesi yeterlidir. Ancak bir Uyarı kuralı eşleşmesi Anomali Puanı'nı yalnızca 3 artırır ve bu da trafiği engellemek için tek başına yeterli değildir.
Uyarı
WAF kuralı trafikle eşleştiğinde günlüğe kaydedilen ileti "Eşleştirildi" eylem değerini içerir. Eşleşen tüm kuralların toplam anomali puanı 5 veya daha büyükse ve WAF ilkesi Önleme modunda çalışıyorsa, istek Engellendi eylem değeriyle zorunlu bir anomali kuralı tetikler ve istek durdurulur. Ancak WAF ilkesi Algılama modunda çalışıyorsa istek Algılanan eylem değerini tetikler ve istek günlüğe kaydedilir ve arka uçtan geçirilir. Daha fazla bilgi için Azure Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) sorunlarını giderme bölümüne bakın.
Yapılandırma
Azure portalını, REST API'lerini, Azure Resource Manager şablonlarını ve Azure PowerShell'i kullanarak tüm WAF ilkelerini yapılandırabilir ve dağıtabilirsiniz. Ayrıca Güvenlik Duvarı Yöneticisi tümleştirmesi kullanarak Azure WAF ilkelerini uygun ölçekte yapılandırabilir ve yönetebilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Yöneticisi kullanarak WAF ilkelerini yapılandırma.
WAF izleme
Uygulama ağ geçidinizin durumunu izlemek önemlidir ve WAF'nizi ve koruduğu uygulamaları Bulut için Microsoft Defender, Azure İzleyici ve Azure İzleyici günlükleriyle tümleştirerek gerçekleştirilebilir.
Azure Monitör
Application Gateway günlükleri Azure İzleyici ile tümleştirildiğinden WAF uyarıları ve günlükleri de dahil olmak üzere tanılama bilgilerini izleyebilirsiniz. Bu özelliğe Azure portalındaki Application Gateway kaynağının Tanılama sekmesinden veya doğrudan Azure İzleyici üzerinden erişebilirsiniz. Günlükleri etkinleştirme hakkında daha fazla bilgi edinmek için bkz. Application Gateway için tanılama günlükleri.
Bulut için Microsoft Defender
Bulut için Defender tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Azure kaynaklarınızın güvenliği üzerinde daha fazla görünürlük ve denetim sağlar. Application Gateway, Bulut için Defender ile tümleşiktir. Bulut için Defender korumasız web uygulamalarını algılamak için ortamınızı tarar. Bu güvenlik açığı bulunan kaynakları korumak için Application Gateway WAF'yi önerebilir. Güvenlik duvarlarını doğrudan Defender for Cloud kullanarak oluşturursunuz. Bu WAF örnekleri Bulut için Defender ile tümleştirilmiştir. Raporlama için Defender for Cloud'a uyarılar ve sağlık bilgileri gönderirler.
Microsoft Sentinel
Microsoft Sentinel ölçeklenebilir, bulutta yerel, güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıtı (SOAR) çözümüdür. Microsoft Sentinel, kuruluş genelinde akıllı güvenlik analizi ve tehdit bilgileri sunarak uyarı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm sunar.
Yerleşik Azure WAF güvenlik duvarı olayları çalışma kitabıyla olaylar, eşleşen ve engellenen kurallar ve günlüğe kaydedilen diğer tüm güvenlik duvarı etkinlikleri dahil olmak üzere WAF'nizdeki güvenlik olaylarına genel bir bakış elde edebilirsiniz.
WAF için Azure İzleyici Çalışma Kitabı
WAF için Azure İzleyici Çalışma Kitabı, çeşitli filtrelenebilir panellerde güvenlikle ilgili WAF olaylarının özel görselleştirmesini sağlar. Application Gateway, Front Door ve CDN gibi tüm WAF türleriyle çalışır ve WAF türüne veya belirli bir WAF örneğine göre filtrelenebilir. ARM Şablonu veya Galeri Şablonu aracılığıyla içeri aktarma. Bu çalışma kitabını dağıtmak için WAF Çalışma Kitabı belgelerine bakın.
Ağaç kesimi
Application Gateway WAF, algılandığı her tehdit hakkında ayrıntılı raporlama sağlar. Günlüğe kaydetme, Azure Tanılama günlüklerle tümleşiktir. Uyarılar JSON biçiminde kaydedilir. Bu günlükler Azure İzleyici günlükleriyle tümleştirilebilir.
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
"operationName": "ApplicationGatewayFirewall",
"time": "2017-03-20T15:52:09.1494499Z",
"category": "ApplicationGatewayFirewallLog",
"properties": {
{
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIp": "203.0.113.145",
"clientPort": "0",
"requestUri": "/",
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"ruleId": "920350",
"ruleGroup": "920-PROTOCOL-ENFORCEMENT",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
"data": "127.0.0.1",
"file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
"line": "791"
},
"hostname": "127.0.0.1",
"transactionId": "16861477007022634343"
"policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
"policyScope": "Global",
"policyScopeName": " Global "
}
}
}
Application Gateway WAF SKU fiyatlandırması
Fiyatlandırma modelleri WAF_v1 ve WAF_v2 SKU'lar için farklıdır. Daha fazla bilgi için bkz. Application Gateway fiyatlandırması.
Yenilikler
Azure Web Uygulaması Güvenlik Duvarı ile ilgili yenilikler hakkında bilgi edinmek için bkz. Azure güncelleştirmeleri.
İlgili içerik
- WAF yönetilen kuralları hakkında daha fazla bilgi edinin
- Özel Kurallar hakkında daha fazla bilgi edinin
- Azure Front Door'da Web Uygulaması Güvenlik Duvarı hakkında bilgi edinin
- Azure ağ güvenliği hakkında bilgi edinin