Vanliga frågor och svar om Azure Web Application Firewall på Azure Front Door

Azure Web Application Firewall är en brandvägg för webbprogram (WAF) som hjälper dig att skydda dina webbprogram från vanliga hot som SQL-inmatning, skriptkörning mellan webbplatser och andra webbexploateringar. Du kan definiera en WAF-princip som består av en kombination av anpassade och hanterade regler för att styra åtkomsten till dina webbprogram.

Du kan tillämpa en WAF-princip på webbprogram som finns på Azure Application Gateway eller Azure Front Door.

Azure Front Door är ett program- och innehållsleveransnätverk som är mycket skalbart och globalt distribuerat. Azure Web Application Firewall, när den är integrerad med Azure Front Door, stoppar överbelastningsattacker och riktade programattacker vid Azure-nätverksgränsen (nära attackkällor) innan de kommer in i ditt virtuella nätverk. Den här kombinationen ger skydd utan att offra prestanda.

Azure Front Door erbjuder TLS-avlastning (Transport Layer Security). Azure Web Application Firewall är inbyggt integrerat med Azure Front Door och kan inspektera en begäran när den har dekrypterats.

Ja. Du kan konfigurera IP-begränsning för IPv4 och IPv6. Mer information finns i blogginlägget om IPv6-implementering för att förbättra Azure Web Application Firewall på Azure Front Door.

Vi gör vårt bästa för att hänga med i det föränderliga hotlandskapet. När vi uppdaterar en regel lägger vi till den i standardregeluppsättningen (DRS) med ett nytt versionsnummer.

De flesta WAF-policydistributioner slutförs på mindre än 20 minuter. Du kan förvänta dig att principen börjar gälla så snart uppdateringen har slutförts på alla gränsplatser globalt.

När Azure Web Application Firewall är integrerat med Azure Front Door är WAF en global resurs. Samma konfiguration gäller för alla Azure Front Door-platser.

Du kan konfigurera en åtkomstkontrollista på serverns back end så att endast Azure Front Door-utgående IP-adressintervall tillåts med hjälp av en Azure Front Door-tjänsttagg och neka direkt åtkomst från internet. Tjänsttaggar stöds för ditt virtuella nätverk. Dessutom kan du kontrollera att X-Forwarded-Host HTTP-huvudfältet är giltigt för webbprogrammet.

Det finns två alternativ för att tillämpa WAF-principer i Azure. Azure Web Application Firewall på Azure Front Door är en globalt distribuerad gränssäkerhetslösning. Azure Web Application Firewall på Application Gateway är en regional, dedikerad lösning. Vi rekommenderar att du väljer en lösning baserat på dina övergripande prestanda- och säkerhetskrav. Mer information finns i Alternativ för belastningsutjämning.

När du aktiverar WAF i ett befintligt program är det vanligt att ha falska positiva identifieringar där WAF-reglerna identifierar legitim trafik som ett hot. För att minimera risken för påverkan på användarna rekommenderar vi följande process:

1. Aktivera WAF i identifieringsläge för att säkerställa att WAF inte blockerar begäranden när du arbetar med den här processen. Vi rekommenderar det här steget i testsyfte på WAF.

   Viktigt!

   Den här processen beskriver hur du aktiverar WAF på en ny eller befintlig lösning när din prioritet är att minimera störningen för programmets användare. Om du är utsatt för angrepp eller överhängande hot kanske du i stället vill distribuera WAF i förebyggande läge omedelbart. Du kan sedan använda justeringsprocessen för att övervaka och justera WAF över tid. Den här metoden kommer förmodligen att orsaka att en del av din legitima trafik blockeras, vilket är anledningen till att vi rekommenderar att du använder den endast när du är hotad.

2. Följ riktlinjerna för att justera WAF. Den här processen kräver att du aktiverar diagnostikloggning, granskar loggarna regelbundet och lägger till regelundantag och andra åtgärder.

3. Upprepa hela processen och kontrollera loggarna regelbundet tills du är övertygad om att ingen legitim trafik blockeras. Hela processen kan ta flera veckor. Helst bör du se färre falska positiva identifieringar efter varje justeringsändring som du gör.

4. Aktivera slutligen WAF i förebyggande läge.

Även när du har kört WAF i produktion bör du fortsätta att övervaka loggarna för att identifiera andra falska positiva identifieringar. Genom att regelbundet granska loggarna kan du också identifiera eventuella verkliga attackförsök som har blockerats.

För närvarande stöds endast Core Rule Set (CRS) 3.0, CRS 3.1 och CRS 3.2 endast med Azure Web Application Firewall på Application Gateway. Hastighetsbegränsning och Azure-hanterade DRS-regler stöds endast med Azure Web Application Firewall på Azure Front Door.

Azure Front Door distribueras globalt i Azures nätverkskanter. Den kan absorbera och geografiskt isolera attacker med stor volym. Du kan skapa en anpassad WAF-princip för att automatiskt blockera och frekvensgränsa HTTP- och HTTPS-attacker som har kända signaturer. Du kan också aktivera Distributed Denial-of-Service (DDoS) nätverksskydd på det virtuella nätverket där dina backend-servrar distribueras.

Kunder i Azure DDoS Protection-tjänsten får ytterligare fördelar, inklusive kostnadsskydd, en servicenivåavtalsgaranti (SLA) och åtkomst till experter från DDoS Rapid Response Team för omedelbar hjälp under en attack. Mer information finns i DDoS Protection på Azure Front Door.

Du kanske inte ser begäranden som blockeras omedelbart av hastighetsgränsen när olika Azure Front Door-servrar bearbetar begäranden. Mer information finns i Hastighetsbegränsningar och Azure Front Door-servrar.

Azure Front Door WAF stöder följande innehållstyper:

• DRS 2.0

  Hanterade regler:

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Anpassade regler:

  • application/x-www-form-urlencoded

• DRS 1.x

  Hanterade regler:

  • application/x-www-form-urlencoded
  • text/plain

  Anpassade regler:

  • application/x-www-form-urlencoded

Nej, det kan du inte. Azure Front Door-profilen och WAF-principen måste finnas i samma prenumeration.

Relaterat innehåll

• Vad är Azure Web Application Firewall?
• Vad är Azure Front Door?