在 Azure Front Door 上實作 Web 應用程式防火牆
Web 應用程式防火牆 (WAF) 可以集中保護 Web 應用程式,使其免於遭遇常見的攻擊和弱點。 Web 應用程式已逐漸成為利用常見已知弱點進行惡意攻擊的目標。 SQL 插入式和跨網站指令碼攻擊更是其中最常見的攻擊。
防止應用程式程式碼發生此類攻擊是一項挑戰。 這可能需要在多層應用程式拓撲上進行嚴謹的維護、修補及監控。 集中式 Web 應用程式防火牆,有助於大幅簡化安全性管理。 WAF 也提供應用程式系統管理員更好的保證,以防範威脅和入侵。
相較於保護個別的 Web 應用程式,WAF 解決方案可透過集中修補已知弱點,更快回應安全性威脅。
Web 應用程式防火牆原則模式
建立 Web 應用程式防火牆 (WAF) 原則時,根據預設,WAF 原則會處於偵測模式。 在偵測模式中,WAF 不會封鎖任何要求,而會將符合 WAF 規則的要求記錄在 WAF 記錄中。 若要查看 WAF 的運作方式,您可以將模式設定從 [偵測] 變更為 [預防]。 在 [預防] 模式中,會封鎖與預設規則集 (DRS) 中定義之規則相符的要求,並記錄在 WAF 記錄檔中。
Web 應用程式防火牆預設規則集規則群組和規則
Azure Front Door Web 應用程式防火牆 (WAF) 可以避免 Web 應用程式遇到常見的弱點和惡意探索。 Azure 管理的規則集可讓您以簡單的方式部署防護,以抵禦一組常見的安全性威脅。 由於這類規則集由 Azure 管理,因此會視需要更新規則,以防範新的攻擊簽章。
受控規則
Azure 管理的預設規則集包含可防範下列威脅類別的規則:
- 跨網站指令碼處理
- Java 攻擊
- 本機檔案包含
- PHP 插入式攻擊
- 遠端命令執行
- 遠端檔案包含
- 工作階段 Fixation
- SQL 插入式攻擊保護
- 通訊協定攻擊
預設會啟用 Azure 管理的預設規則集。 目前的預設版本為 DefaultRuleSet_2.1。 其他規則集可在下拉式方塊中找到。
若要停用個別規則,請選取規則編號前面的核取方塊,然後選取頁面頂端的 [停用]。 若要變更規則集內個別規則的動作類型,請選取規則編號前面的核取方塊,然後選取頁面頂端的 [變更動作]。
自訂規則
具有 Front Door 的 Azure WAF 可讓您根據自行定義的條件來控制 Web 應用程式的存取權。 自訂 WAF 規則由優先順序編號、規則類型、比對條件和動作組成。 自訂規則有兩種類型:對比規則和速率限制規則。 對比規則會依據一組比對條件控制存取,速率限制規則則是依據比對條件以及傳入要求的速率控制存取。 您可以停用自訂規則以防止系統予以評估,但仍繼續進行設定。
建立 WAF 原則時,您可以選取 [自訂規則] 區段底下的 [新增自訂規則],以建立自訂規則。 這會啟動 [自訂規則設定] 頁面。
以下範例螢幕擷取畫面顯示當查詢字串包含 blockme 時,用來封鎖要求的自訂規則設定。
在 Azure Front Door 上建立 Web 應用程式防火牆原則
本節說明如何建立基本的 Azure Web 應用程式防火牆 (WAF) 原則,並將其套用至 Azure Front Door 中的設定檔。
使用 Azure 入口網站在 Azure Front Door 上建立 WAF 原則的主要階段如下:
建立 Web 應用程式防火牆原則
這是您要建立具有受控預設規則集 (DRS) 的基本 WAF 原則的位置。
將 WAF 原則與 Front Door 設定檔產生關聯
這是您要將第 1 階段中建立的 WAF 原則與 Front Door 設定檔產生關聯的位置。 此關聯可以在建立 WAF 原則期間完成,也可以在先前建立的 WAF 原則上完成。 在建立關聯的期間,您會指定要套用 WAF 原則的 Front Door 設定檔及 Front Door 設定檔中的網域。 在這個階段,如果網域與 WAF 原則建立關聯,會顯示為灰色。您必須先從已建立關聯的原則中移除網域,再重新建立網域到新 WAF 原則的關聯。
設定 WAF 原則設定與規則
這是選擇性的階段,您可以在其中設定原則設定 (例如 [模式] (「預防」或「偵測」)) 以及設定受控規則和自訂規則。
若要檢視所有這些工作的詳細步驟,請參閱教學課程:使用 Azure 入口網站在 Azure Front Door 上建立 Web 應用程式防火牆原則。