Azure Front Door 上的 Azure Web 應用程式防火牆最佳做法

本文摘要說明在 Azure Front Door 中使用 Azure Web 應用程式防火牆 (WAF) 的最佳做法。

一般最佳做法

本節討論一般最佳做法。

啟用 WAF

針對網際網路面向的應用程式，建議您啟用 Web 應用程式防火牆 (WAF)，並將其設定為使用受控規則。 在使用 WAF 和 Microsoft 受控規則時，您的應用程式會受到保護，而免於遭受範圍內的攻擊。

調整 WAF

在 WAF 中的規則應針對您的工作負載來進行調整。 若未調整 WAF，則可能會意外地封鎖應允許的要求。 調整可能牽涉到建立規則排除，以減少誤判為真之偵測。

當您微調 WAF 時，請考慮使用偵測模式。 此模式會記錄要求和 WAF 通常會採取的動作，但實際上不會封鎖任何流量。

如需詳細資訊，請參閱 調整適用於 Azure Front Door 的 Azure Web 應用程式防火牆。

使用預防模式

在調整 WAF 之後，您應該將其設定為 [以預防模式執行]。 藉由在預防模式中執行，可確保 WAF 其實會封鎖其偵測到為惡意的要求。 調整和設定 WAF 時，在偵測模式中執行會很有用，但不會提供任何保護。

將您的 WAF 設定定義為程式碼

當您針對應用程式工作負載調整 WAF 時，通常會建立一組規則排除項目，以減少誤判為真偵測。 如果您使用 Azure 入口網站手動設定這些排除項目，則當升級 WAF 以使用較新的規則集版本時，您必須針對新的規則集版本重新設定相同的例外狀況。 這個流程可能既耗時又困難。

請考慮改為將 WAF 規則排除項目和其他設定定義為程式碼，例如使用 Azure CLI、Azure PowerShell、Bicep 或 Terraform。 當需要更新 WAF 規則集版本時，您可以輕鬆地重複使用相同的排除項目。

受控規則集最佳做法

本節討論規則集的最佳做法。

啟用預設規則集

Microsoft 的預設規則集，專為透過偵測和封鎖常見的攻擊來保護之應用程式而設計。 這些規則是以各種來源為基礎，包括來自 Microsoft 威脅情報的 OWASP 前 10 名攻擊類型和資訊。

如需詳細資訊，請參閱 Azure 受控規則集。

啟用 Bot 管理規則

Bot 負責對 Web 應用程式進行顯著比例的流量。 WAF 的 Bot 保護規則集依據 Bot 是否良好、不良或未知來分類 Bot。 然後，可以封鎖不良的 Bot，而搜尋引擎編目程式之類的良好 Bot 則會允許透過您的應用程式執行。

如需詳細資訊，請參閱 Bot 保護規則集。

使用最新的規則集版本

Microsoft 會定期更新受控規則，以將目前的威脅景象納入考量。 請確定您會定期檢查 Azure 受控規則集的更新。

如需詳細資訊，請參閱 Azure Web 應用程式防火牆 DRS 規則群組與規則。

速率限制最佳做法

本節討論速率限制的最佳做法。

新增速率限制

Azure Front Door 的 WAF 可讓您控制一段時間內每個用戶端 IP 位址允許的要求數量。 建議您新增速率限制，以減少用戶端意外或刻意將大量流量傳送至服務所帶來的影響，例如在 retry 風暴期間。

如需詳細資訊，請參閱以下資源：

• 什麼是 Azure Front Door 的速率限制？
• 使用 Azure PowerShell 設定 Azure Web 應用程式防火牆速率限制規則。
• 為何超過針對我的速率限制規則設定之閾值的額外要求會傳遞到我的後端伺服器？

針對速率限制使用高閾值

將速率限制閾值設定為高通常是很好的做法。 例如，如果您知道單一用戶端 IP 位址可能會每分鐘傳送大約 10 個要求到您的伺服器，請考慮指定每分鐘 20 個要求的閾值。

高速率限制閾值可避免封鎖合法的流量。 這些閾值仍會針對可能淹沒基礎結構的非常大量的要求提供保護。

地區篩選的最佳做法

本節討論地區篩選的最佳做法。

地區篩選流量

許多 Web 應用程式專為特定地理區域內的使用者而設計。 若此情況適用於您的應用程式，請考量實作地區篩選以封鎖來自您預期接收流量的國家/地區以外的要求。

如需詳細資訊，請參閱 何謂 Azure Front Door 的網域地區篩選？。

指定未知 (ZZ) 位置

某些 IP 位址未對應至資料集中的位置。 當 IP 位址無法對應至某個位置時，WAF 會將流量指派給未知 (ZZ) 國家/地區。 若要避免封鎖來自這些 IP 位址的有效要求，請考慮透過地區篩選來允許未知 (ZZ) 國家/地區。

如需詳細資訊，請參閱 何謂 Azure Front Door 的網域地區篩選？。

記錄

本節將討論記錄。

新增診斷設定以將 WAF 記錄加以儲存

Azure Front Door WAF 與 Azure 監視器整合。 請務必將 WAF 記錄儲存至 Log Analytics 之類的目的地。 應定期檢閱 WAF 記錄。 檢閱記錄可協助您調整 WAF 原則，以減少誤判為真的偵測，並了解您的應用程式是否遭受攻擊。

如需詳細資訊，請參閱 Azure Web 應用程式防火牆監視和記錄。

傳送記錄至 Microsoft Sentinel

Microsoft Sentinel 為安全性資訊和事件管理 (SIEM) 系統，其會從多項來源匯入記錄和資料，以了解 Web 應用程式和整體 Azure 環境的威脅景象。 Azure Front Door 的 WAF 記錄應該匯入 Microsoft Sentinel 或其他 SIEM，好讓您的網際網路對應屬性包括在其分析中。 針對 Microsoft Sentinel，請使用 Azure WAF 連接器以輕鬆地匯入 WAF 記錄。

如需詳細資訊，請參閱 搭配 Azure Web 應用程式防火牆使用 Microsoft Sentinel。

下一步

了解如何建立 Azure Front Door WAF 原則。