Azure Front Door 上的 Azure Web 應用程序防火墻,azure防火墻

Azure Front Door 上的 Azure Web 應用程序防火墻

Azure Front Door上的Azure Web應用程序防火墻(WAF)為Web應用程序提供集中保護。WAF可以防范Web服務遭到常見的惡意利用和出現漏洞。它使服務對用戶高度可用，并幫助滿足合規性要求。

Front Door上的WAF是一個全球性的集中式解決方案。它部署在全球各地的Azure網絡邊緣位置。啟用了WAF的Web應用程序會檢查Front Door在網絡邊緣傳快遞的每個傳入請求。

在惡意攻擊進入虛擬網絡之前，WAF會阻止這些攻擊靠近攻擊源。你可以獲得大規模的全局保護，且不會降低性能。WAF策略可輕松鏈接到訂閱中的任何Front Door配置文件。在幾分鐘內就能部署新的規則，因此可以快速響應不斷變化的威脅模式。

WAF策略和規則

可以配置一個WAF策略，然后將該策略與一個或多個Front Door前端關聯，以提供保護。WAF策略包含兩種類型的安全規則：

·客戶創作的自定義規則。

·托管規則集，即由Azure托管的預配置規則設置的集合。

如果兩者均存在，則先處理自定義規則，然后處理托管規則集中的規則。規則由匹配條件、優先級和操作組成。支持的操作類型包括：允許、阻止、記錄和重定向。可以組合托管規則和自定義規則以創建滿足特定應用程序保護要求的完全自定義策略。

策略中的規則按優先順序進行處理?！皟炏燃墶笔俏ㄒ坏恼麛?，定義規則的處理順序。整數值越小表示優先級越高，這些規則的評估順序先于整數值較大的規則。匹配規則后，規則中定義的相應操作將應用于請求。處理此類匹配后，不再進一步處理優先級較低的規則。

Front Door交付的Web應用程序一次只能與一個WAF策略關聯。但可以使用Front Door配置，且無需將其與任何WAF策略關聯。如果WAF策略存在，它將復制到所有邊緣位置，以確保全球的安全策略保持一致。

WAF模式

WAF策略可配置為在以下兩種模式下運行：

·檢測模式：在檢測模式下運行時，WAF除進行監視并將請求及其匹配的WAF規則記錄到WAF日志中以外，不會執行任何其他操作。可為Front Door啟用日志診斷。如果使用門戶，請轉到“診斷”部分。

·阻止模式：在阻止模式下，如果請求與規則匹配，WAF將執行指定的操作。如果找到匹配項，則不會評估優先級更低的規則。任何匹配的請求也會記錄在WAF日志中。

WAF操作

如果請求匹配規則的條件，WAF客戶可以選擇運行其中某個操作：

·允許：請求通過WAF傳遞并轉發到后端。沒有其他優先級較低的規則可以阻止此請求。

·阻止：請求受阻，WAF將響應發國際快遞客戶端，且不會將請求轉發到后端。

·記錄：請求記錄在WAF日志中，且WAF繼續評估優先級較低的規則。

·重定向：WAF將請求重定向到指定的URI。指定的URI是策略級別設置。配置后，與“重定向”操作匹配的所有請求都將發國際快遞該URI。

WAF規則

WAF策略可以由安全規則（由客戶創作的自定義規則）和托管規則集（由Azure托管的預配置規則集）這兩種類型組成。

自定義創作規則

可按如下方式配置自定義規則WAF：

·IP允許列表和阻止列表：可以基于客戶端IP地址列表或IP地址范圍來控制對Web應用程序的訪問。支持IPv4和IPv6地址類型?？蓪⒋肆斜砼渲脼樽柚够蛟试S源IP與列表中的IP匹配的請求。

·基于地理位置的訪問控制：可以基于與客戶端IP地址相關聯的國家/地區代碼來控制對Web應用程序的訪問。

·基于HTTP參數的訪問控制：可使規則基于HTTP/HTTPS請求參數中的字符串匹配項。例如，查詢字符串、POST參數、請求URI、請求標頭和請求正文。

·基于請求方法的訪問控制：使規則基于請求的HTTP請求方法。例如GET、PUT或HEAD。

·大小約束：可使規則基于請求的特定部分（例如查詢字符串、URI或請求正文）的長度。

·速率限制規則：速率控制規則用于限制任何客戶端IP發出的異常高的流量。對于客戶端IP在一分鐘內允許的Web請求數，可以配置一個閾值。此規則與基于IP列表的允許/阻止自定義規則不同，后者允許或阻止客戶端IP的所有請求。速率限制可以與其他匹配條件（例如用于粒度速率控制的HTTP(S)參數匹配）結合使用。

Azure托管的規則集

Azure托管的規則集可輕松針對一組常見的安全威脅來部署保護。由于此類規則集由Azure托管，因此這些規則會根據需要進行更新以預防新的攻擊簽名。Azure托管的默認規則集包含針對以下威脅類別的規則：

·跨站點腳本

·Java攻擊

·本地文件包含

·PHP注入攻擊

·遠程命令執行

·遠程文件包含

·會話固定

·SQL注入保護

·協議攻擊者

將新的攻擊簽名添加到規則集時，默認規則集的版本號將遞增。默認規則集在WAF策略的檢測模式下默認啟用。可以禁用或啟用默認規則集內的各個規則以滿足應用程序要求。還可以根據規則設置特定操作（允許/阻止/重定向/記錄）。

有時你可能需要忽略WAF評估中的某些請求屬性。一個常見的例子是用于身份驗證的Active Directory插入令牌?？梢詾橥泄芤巹t、規則組或整個規則集配置排除列表。

默認操作為“阻止”。此外，如果想要繞過默認規則集中的任何預配置規則，可以在同一WAF策略中配置自定義規則。

在評估默認規則集中的規則之前，自定義規則始終適用。如果請求與某個自定義規則相匹配，將應用相應的規則操作。請求將被阻止，或通過后端傳遞。不會處理任何其他自定義規則或默認規則集中的規則。還可以從WAF策略中刪除默認規則集。

機器人防護規則集（預覽版）

可以啟用托管機器人防護規則集，以便針對來自已知機器人類別的請求執行自定義操作。

支持三種機器人類別：“不良”、“良好”和“未知”。機器人簽名由WAF平臺管理和動態更新。

不良的機器人包括來自惡意IP地址的機器人，以及偽造了其身份的機器人。惡意IP地址源自于Microsoft威脅情報源，每小時更新一次。Intelligent Security Graph為Microsoft威脅智能助力，它已得到Azure安全中心等多項服務的運用。

善意機器人包括經過驗證的搜索引擎?！拔粗鳖悇e包括將自身標識為機器人的其他機器人組。例如市場分析器、源提取器和數據收集代理。

未知的機器人是通過已發布的用戶代理分類的，未經過附加的驗證?？蔀椴煌愋偷臋C器人設置自定義的阻止、允許、記錄或重定向操作。

重要

機器人防護規則集當前為公共預覽版，并提供預覽版服務級別協議。某些功能可能不受支持或者受限。有關詳細信息，請參閱Microsoft Azure預覽版補充使用條款。

如果啟用了機器人防護，則與機器人規則匹配的傳入請求將記錄在FrontdoorWebApplicationFirewallLog日志中?？蓮拇鎯?、事件中心或日志分析訪問WAF日志。

配置

可以使用Azure門戶、REST API、Azure資源管理器模板和Azure PowerShell來配置和部署所有WAF規則類型。

監視

在Front Door監視WAF與Azure Monitor集成，以便跟蹤警報并輕松監視流量趨勢。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。