你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Front Door 服务上的 Azure Web 应用程序防火墙的常见问题

本文回答 Azure Front Door 服务上的 Azure Web 应用程序防火墙 (WAF) 特性和功能的常见问题。

什么是 Azure WAF?

Azure WAF 是一个 Web 应用程序防火墙,可帮助保护 Web 应用程序免受常见威胁,例如 SQL 注入、跨站点脚本和其他 Web 攻击。 可以定义包含自定义和托管规则组合的 WAF 策略,以控制对 Web 应用程序的访问。

可以将 Azure WAF 策略应用于托管在应用程序网关或 Azure Front Door 上的 Web 应用程序。

什么是 Azure Front Door 上的 WAF?

Azure Front Door 是高度可缩放的全球分散式应用程序和内容分发网络。 Azure WAF 与 Front Door 集成后,可在 Azure 网络边缘停止拒绝服务和目标应用程序攻击,在攻击源进入虚拟网络之前接近它们,在不影响性能的情况下提供保护。

Azure WAF 是否支持 HTTPS?

Front Door 提供 TLS 卸载。 WAF 在本机与 Front Door 集成,并可在请求解密后检查请求。

Azure WAF 是否支持 IPv6?

是的。 可为 IPv4 和 IPv6 配置 IP 限制。

托管规则集如何保持最新?

我们尽最大努力跟上不断变化的威胁形势。 新规则更新后,将使用新的版本号将其添加到默认规则集。

如果更改 WAF 策略,传播时间是多长?

大多数 WAF 策略部署在 20 分钟内完成。 更新在全球范围内所有边缘位置完成后,策略即生效。

不同区域的 WAF 策略是否可以不同?

与 Front Door 集成后,WAF 为全局资源。 同一配置适用于所有 Front Door 位置。

如何实现仅限从 Front Door 访问我的后端?

可以使用 Azure Front Door 服务标记在后端配置 IP 访问控制列表,使其仅允许 Front Door 出站 IP 地址范围,并拒绝来自 Internet 的任何直接访问。 支持在虚拟网络上使用服务标记。 此外,还可验证 X-Forwarded-Host HTTP 标头字段对你的 Web 应用程序是否有效。

我应该选择哪些 Azure WAF 选项?

在 Azure 中应用 WAF 策略时,有两个选项可供选择。 使用 Azure Front Door 的 WAF 是一种全球分布式边缘安全解决方案。 使用应用程序网关的 WAF 是一种区域专用解决方案。 建议基于整体性能和安全要求来选择解决方案。 有关详细信息,请参阅通过 Azure 的应用程序交付套件实现负载均衡

建议采用什么方法在 Front Door 上启用 WAF?

在现有应用程序上启用 WAF 时,通常会出现假正检测,其中 WAF 规则会将合法流量检测为威胁。 若要最大程度地降低对用户的影响,我们建议执行以下过程:

  • 检测模式中启用 WAF,以确保在执行此过程时,WAF 不会阻止请求。 在 WAF 上进行测试时,建议执行此步骤。

    重要

    此过程介绍如何在新的或现有的解决方案中启用 WAF,以便最大程度地减少对应用程序用户的干扰。 如果受到攻击或迫在眉睫的威胁,你可能想要立即在“防护”模式下部署 WAF,并使用优化过程监视和优化 WAF 一段时间。 这可能会导致某些合法流量被阻止,这就是为什么我们只建议在受到威胁时才这样做的原因。

  • 遵循我们的 WAF 优化指导。 此过程要求你启用诊断日志记录,定期检查日志,以及添加规则排除和其他缓解措施。
  • 重复这整个过程,定期检查日志,直到你认为没有合法流量被阻止。 整个过程可能需要几周的时间。 理想情况下,每次进行优化更改后,假正检测会减少。
  • 最后,在“防护模式”下启用 WAF。
  • 即使是在生产环境中运行 WAF,也应继续监视日志以识别任何其他假正检测。 定期查看日志还将帮助你确定已阻止的任何实际攻击企图。

所有集成平台中是否支持相同的 WAF 功能?

目前,应用程序网关上的 WAF 只支持 ModSec CRS 3.0、CRS 3.1 和 CRS 3.2 规则。 只有 Azure Front Door 上的 WAF 支持“速率限制”和“Azure 托管默认规则集”规则。

Front Door 是否集成了 DDoS 防护?

Azure Front Door 全球分布在 Azure 网络边缘,可以吸收并在地理上隔离大规模攻击。 你可以创建自定义 WAF 策略来自动阻止具有已知签名的 http 攻击并对这些攻击进行速率限制。 此外,可以在部署了后端的 VNet 上启用 DDoS 网络保护。 Azure DDoS 防护客户可获得更多益处,包括成本保护、SLA 保证,并且可以在攻击期间联系 DDoS 快速响应团队的专家以便立即获得帮助。 有关详细信息,请参阅 Front Door 上的 DDoS 防护

为什么超出为我的速率限制规则配置的阈值的其他请求会传递到我的后端服务器?

当请求由不同的 Front Door 服务器处理时,你可能不会看到请求立即被速率限制阻止。 有关详细信息,请参阅速率限制和 Front Door 服务器

WAF 支持哪些内容类型?

Front Door WAF 支持以下内容类型:

  • DRS 2.0

    托管规则

    • application/json
    • application/xml
    • application/x-www-form-urlencoded
    • multipart/form-data

    自定义规则

    • application/x-www-form-urlencoded
  • DRS 1.x

    托管规则

    • application/x-www-form-urlencoded
    • text/plain

    自定义规则

    • application/x-www-form-urlencoded

我可以将 Front Door WAF 策略应用于属于不同订阅的不同 Front Door 高级 (AFDX) 配置文件中的前端主机吗?

不可以。 AFD 配置文件和 WAF 策略需要在同一订阅中。

后续步骤