此文章會回答有關 Azure Front Door 服務特性和功能的 Azure Web 應用程式防火牆 (WAF) 常見問題。
什麼是 Azure WAF?
Azure WAF 是一種 Web 應用程式防火牆,可協助保護您的 Web 應用程式免於遭受常見的威脅,例如 SQL 插入式攻擊、跨網站指令碼和其他 web 惡意探索。 您可以定義由自訂和受控規則組合所組成的 WAF 原則,以控制對 Web 應用程式的存取。
Azure WAF 原則可以套用至裝載於應用程式閘道或 Azure Front Door 的 Web 應用程式。
什麼是 Azure Front Door 上的 WAF?
Azure Front Door 是高度可調整的全域分散式應用程式和內容傳遞網路。 當 Azure WAF 與 Front Door 整合時,便能夠阻止在 Azure 網路邊緣上進行的阻斷服務攻擊和針對性應用程式攻擊、在攻擊來源進入您的虛擬網路之前搶先加以掌握,並在不犧牲效能的前提下提供保護。
Azure WAF 是否支援 HTTPS?
Front Door 提供 TLS 卸載。 WAF 與 Front Door 原生整合,並可在要求解密後對其進行檢查。
Azure WAF 是否支援 IPv6?
是。 您可以設定 IPv4 和 IPv6 的 IP 限制。 如需詳細資訊,請參閱 IPv6 採用:增強 Front Door 上的 Azure WAF。
受控規則集的更新情況為何?
我們會盡一切努力跟上不斷變化的威脅環境。 新規則更新之後,系統便會搭配新的版本號碼將其新增至預設規則集中。
如果我對自己的 WAF 原則進行變更,其傳播時間為何?
大部分的 WAF 原則部署會在 20 分鐘內完成。 您可以預期當全域所有邊緣位置更新完成時,規則就會生效。
不同區域的 WAF 原則是否可以不同?
與 Front Door 整合時,WAF 是全域資源。 相同的設定會套用到所有 Front Door 位置。
如何將後端限制為只能從 Front Door 存取?
您可以使用 Azure Front Door 服務標籤,在後端設定 IP 存取控制清單,僅允許 Front Door 輸出 IP 位址範圍,並拒絕來自網際網路的所有直接存取。 支援使用服務標籤,以供您用於自己的虛擬網路上。 此外,您可以確認 X-Forwarded-Host HTTP 標頭欄位對您的 Web 應用程式是有效的。
我應該選擇哪一個 Azure WAF 選項?
在 Azure 中套用 WAF 原則時,有兩個選項。 WAF 搭配 Azure Front Door 是全域散發的邊緣安全性解決方案。 WAF 搭配應用程式閘道是區域性的專用解決方案。 建議您根據整體效能和安全性需求來選擇解決方案。 如需詳細資訊,請參閱使用 Azure 的應用程式傳遞套件進行負載平衡 \(部分機器翻譯\)。
在 Front Door 上啟用 WAF 的建議方法為何?
當您在現有的應用程式上啟用 WAF 時,通常會發生誤判為真的偵測結果,其中 WAF 規則將合法的流量偵測為威脅。 為了將對您使用者造成影響的風險降至最低,我們建議您執行下列程序:
- 以偵測模式啟用 WAF,以確保 WAF 不會在您處理此程序期間封鎖要求。 基於在 WAF 的測試目的,建議使用此步驟。
重要
此程序會描述在您想要優先將對應用程式使用者的干擾降至最低的情況下,如何在新的或現有的解決方案上啟用 WAF。 如果您遭受攻擊或面臨立即威脅,建議您改為立即以 [預防] 模式部署 WAF,並使用微調程序來監視和微調 WAF 一段時間。 這可能會導致系統封鎖某些合法的流量,這也是為什麼我們只建議您在面臨威脅的情況下才執行此操作。
- 請遵循我們適用於微調 WAF 的指導方針 \(部分機器翻譯\)。 此程序要求您必須啟用診斷記錄、定期檢閱記錄,並新增規則排除項目和其他風險降低措施。
- 重複這整個程序、定期檢查記錄,直到您認為系統已不會再封鎖合法流量為止。 整個程序可能需要花費數週的時間。 在理想的情況下,您應該會在每次進行微調變更之後看到較少的誤判為真偵測。
- 最後,請以 [預防] 模式啟用 WAF。
- 即便在您已開始於生產環境中執行 WAF,也應該繼續監視記錄以識別任何其他誤判為真的偵測。 定期檢閱記錄也可協助您識別任何成功封鎖的真實攻擊嘗試。
在所有整合式平台上是否支援相同的 WAF 功能?
目前只有應用程式閘道上的 WAF 才支援 ModSec CRS 3.0、CRS 3.1 與 CRS 3.2 規則。 只有 Azure Front Door 上的 WAF 才支援速率限制與 Azure 受控預設規則集規則。
DDoS 保護是否與 Front Door 整合?
Azure Front Door 是以全域方式散發到 Azure 網路邊緣上,而且可以吸收並以地理方式隔離大規模攻擊。 您可以建立自訂 WAF 原則以自動封鎖具有已知特徵碼的 http(s) 攻擊並對其進行速率限制。 此外,您可以在後端部署所在的 VNet 上啟用 DDoS 網路保護。 Azure DDoS 保護客戶可以獲得額外的權益,包括成本保護、SLA 保證,以及連絡 DDoS 快速回應小組專家的能力,以在攻擊期間取得立即協助。 如需詳細資訊,請參閱 Front Door 上的 DDoS 保護 \(部分機器翻譯\)。
為何超過針對我的速率限制規則設定之閾值的額外要求會傳遞到我的後端伺服器?
當以不同的 Front Door 伺服器處理要求時,可能不會立即看到速率限制封鎖的要求。 如需詳細資訊,請參閱速率限制和 Front Door 伺服器。
WAF 支援哪些內容類型?
Front Door WAF 支援下列內容類型:
DRS 2.0
受控規則
- application/json
- application/xml
- application/x-www-form-urlencoded
- multipart/form-data
自訂規則
- application/x-www-form-urlencoded
DRS 1.x
受控規則
- application/x-www-form-urlencoded
- text/plain
自訂規則
- application/x-www-form-urlencoded
我可以將 Front Door WAF 原則套用至屬於不同訂用帳戶的不同 Front Door 進階 (AFDX) 設定檔中的前端主機嗎?
否,您無法進行這項操作。 AFD 設定檔和 WAF 原則必須位於相同的訂用帳戶中。
下一步
- 了解 Azure Web 應用程式防火牆。
- 深入了解 Azure Front Door。