Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
En Azure Web Application Firewall-distribution på Azure Application Gateway skyddar aktivt dina webbprogram mot vanliga sårbarheter och sårbarheter. I takt med att webbprogram blir vanligare för skadliga attacker utnyttjar dessa attacker ofta välkända sårbarheter som SQL-inmatning och skript för flera platser.
Azure Web Application Firewall på Application Gateway baseras på core rule set (CRS) från Open Web Application Security Project (OWASP).
Alla följande Azure Web Application Firewall-funktioner finns i en brandväggsprincip för webbprogram (WAF). Du kan skapa flera principer och associera dem med en programgateway, med enskilda lyssnare eller med sökvägsbaserade routningsregler på en programgateway. Med den här associationen kan du definiera separata principer för varje plats bakom din programgateway om det behövs. Mer information om WAF-principer finns i Skapa WAF-principer för Application Gateway.
Anmärkning
Application Gateway har två versioner av en brandvägg för webbprogram: WAF_v1 och WAF_v2. WAF-principassociationer stöds endast för WAF_v2.
Application Gateway fungerar som en kontrollant för programleverans. Det erbjuder TLS (Transport Layer Security) (tidigare kallat Secure Sockets Layer eller SSL) avslutning, cookiebaserad sessionstillhörighet, resursallokeringsdistribution, innehållsbaserad routning, möjligheten att vara värd för flera webbplatser och säkerhetsförbättringar.
Application Gateway förbättrar säkerheten via TLS-principhantering och TLS-stöd från slutpunkt till slutpunkt. Integreringen av Azure Web Application Firewall i Application Gateway stärker programsäkerheten. Den här kombinationen skyddar aktivt dina webbprogram mot vanliga sårbarheter och erbjuder en centralt hanterbar plats.
Förmåner
I det här avsnittet beskrivs de viktigaste fördelarna med Azure Web Application Firewall på Application Gateway.
Skydd
Skydda dina webbprogram mot webbsårbarheter och attacker utan att ändra serverdelskoden.
Skydda flera webbprogram samtidigt. En instans av Application Gateway kan vara värd för upp till 40 webbplatser som använder en brandvägg för webbprogram.
Skapa anpassade WAF-principer för olika webbplatser bakom samma WAF.
Skydda dina webbprogram från skadliga robotar med IP-ryktesregeluppsättningen.
Skydda ditt program mot DDoS-attacker. Mer information finns i Program (Layer 7) DDoS-skydd.
Övervakning
Övervaka attacker mot dina webbprogram med hjälp av en WAF-logg i realtid. Loggen är integrerad med Azure Monitor för att spåra WAF-aviseringar och övervaka trender.
Application Gateway WAF är integrerad med Microsoft Defender för molnet. Defender för molnet ger en central vy över säkerhetstillståndet för alla dina Azure-, hybrid- och multimolnsresurser.
Kundanpassning
Anpassa WAF-regler och regelgrupper så att de passar dina programkrav och eliminera falska positiva identifieringar.
Associera en WAF-princip för varje plats bakom din WAF för att tillåta platsspecifik konfiguration.
Skapa anpassade regler som passar programmets behov.
Egenskaper
- Skydd mot SQL-inmatning.
- Skydd mot skript mellan webbplatser.
- Skydd mot andra vanliga webbattacker, till exempel kommandoinmatning, HTTP-begärandesmuggling, DELNING av HTTP-svar och fjärrfilinkludering.
- Skydd mot HTTP-protokollöverträdelser.
- Skydd mot HTTP-protokollavvikelser, till exempel saknade
Host,User-AgentochAcceptrubriker. - Skydd mot crawlare och skannrar.
- Identifiering av vanliga programfelkonfigurationer (till exempel Apache och IIS).
- Konfigurerbara storleksgränser för begäranden med lägre och övre gränser.
- Undantagslistor som gör att du kan utelämna vissa begärandeattribut från en WAF-utvärdering. Ett vanligt exempel är Active Directory-infogade token som används för autentiserings- eller lösenordsfält.
- Möjlighet att skapa anpassade regler som passar dina program specifika behov.
- Möjlighet att geofiltrera trafik, tillåta eller blockera vissa länder/regioner från att få åtkomst till dina program.
- Bot Manager-regeluppsättning som hjälper dig att skydda dina program från robotar.
- Möjlighet att inspektera JSON och XML i begärandetexten.
WAF-princip och -regler
Om du vill använda en brandvägg för webbprogram på Application Gateway måste du skapa en WAF-princip. Den här principen är den plats där alla hanterade regler, anpassade regler, undantag och andra anpassningar (till exempel filuppladdningsgräns) finns.
Du kan konfigurera en WAF-princip och associera den principen med en eller flera programgatewayer för skydd. En WAF-princip består av två typer av säkerhetsregler:
- Anpassade regler som du skapar
- Hanterade regeluppsättningar som är samlingar av Azure-hanterade förkonfigurerade regler
När båda finns bearbetar WAF anpassade regler innan reglerna bearbetas i en hanterad regeluppsättning.
En regel består av ett matchningsvillkor, en prioritet och en åtgärd. Åtgärdstyper som stöds är ALLOW, BLOCKoch LOG. Du kan skapa en helt anpassad princip som uppfyller dina specifika krav för programskydd genom att kombinera hanterade och anpassade regler.
WAF bearbetar regler inom en princip i prioritetsordning. Prioritet är ett unikt heltal som definierar ordningen på de regler som ska bearbetas. Ett mindre heltalsvärde anger en högre prioritet och WAF utvärderar dessa regler före regler som har ett högre heltalsvärde. När WAF matchar en regel med en begäran tillämpar den motsvarande åtgärd som regeln definierar för begäran. När WAF har bearbetat en sådan matchning bearbetas inte regler som har lägre prioritet ytterligare.
Ett webbprogram som Application Gateway levererar kan ha en WAF-princip associerad med den på global nivå, på en nivå per plats eller på en URI-nivå.
Anpassade regler
Application Gateway har stöd för att skapa egna anpassade regler. Application Gateway utvärderar anpassade regler för varje begäran som skickas via WAF. Dessa regler har högre prioritet än resten av reglerna i de hanterade regeluppsättningarna. Om en begäran uppfyller en uppsättning villkor vidtar WAF en åtgärd för att tillåta eller blockera. Mer information om anpassade regler finns i Anpassade regler för Application Gateway.
Operatorn Geomatch är nu tillgänglig för anpassade regler. Mer information finns i Geomatch anpassade regler.
Regeluppsättningar
Application Gateway stöder flera regeluppsättningar, inklusive CRS 3.2, CRS 3.1 och CRS 3.0. Dessa regler skyddar dina webbprogram från skadlig aktivitet. Mer information finns i DRS- och CRS-regelgrupper och regler för brandväggen för webbprogram.
Bot Manager-regeluppsättning
Du kan aktivera en hanterad Bot Manager-regeluppsättning för att vidta anpassade åtgärder på begäranden från alla robotkategorier.
Application Gateway stöder tre robotkategorier:
Dåliga robotar: Robotar som har skadliga IP-adresser eller som förfalskat sina identiteter. Skadliga IP-adresser kan hämtas från Microsoft Threat Intelligence-flödets IP-indikatorer med hög konfidens och från IP-ryktesflöden. Dåliga robotar innehåller även robotar som identifierar sig som bra robotar men som har IP-adresser som inte tillhör legitima robotutgivare.
Bra robotar: Betrodda användaragenter. Regler för bra robotar sorteras i flera kategorier för att ge detaljerad kontroll över WAF-principkonfiguration. Följande kategorier är:
- Verifierade sökmotorrobotar (till exempel Googlebot och Bingbot).
- Verifierade länkkontrollrobotar.
- Verifierade chattrobotar för sociala medier (till exempel FacebookBot och LinkedInBot).
- Verifierade annonseringsrobotar.
- Verifierade innehållskontrollrobotar.
- Verifierade diverse robotar.
Okända robotar: Användaragenter utan ytterligare validering. Okända robotar kan också ha skadliga IP-adresser som hämtas från Microsoft Threat Intelligence-flödets IP-indikatorer för medelkonfidens för kompromisser.
Azure Web Application Firewall hanterar aktivt och uppdaterar robotsignaturerna dynamiskt.
När du aktiverar robotskydd blockeras, tillåts eller loggas inkommande begäranden som matchar robotregler baserat på den konfigurerade åtgärden. Den blockerar skadliga robotar, tillåter verifierade sökrobotar, blockerar okända sökrobotar och loggar okända robotar som standard. Du kan ange att anpassade åtgärder ska blockera, tillåta eller logga olika typer av robotar.
Du kan komma åt WAF-loggar från ett lagringskonto, en händelsehubb eller Log Analytics. Du kan också skicka loggar till en partnerlösning.
Mer information om botskydd för Application Gateway finns i Översikt över brandväggen för webbaserade program på Application Gateway bot protection.
WAF-lägen
Du kan konfigurera Application Gateway WAF så att den körs i följande lägen:
- Identifieringsläge: Övervakar och loggar alla hotaviseringar. Du aktiverar loggningsdiagnostik för Application Gateway i avsnittet Diagnostik . Du måste också se till att WAF-loggen är markerad och aktiverad. En brandvägg för webbprogram blockerar inte inkommande begäranden när den körs i identifieringsläge.
- Förebyggande läge: Blockerar intrång och attacker som reglerna identifierar. Angriparen får ett undantag om "403 förbjuden åtkomst" och anslutningen stängs. I förebyggande läge registreras sådana attacker i WAF-loggarna.
Anmärkning
Vi rekommenderar att du kör en nyligen distribuerad WAF i identifieringsläge under en kort period i en produktionsmiljö. Detta ger möjlighet att hämta brandväggsloggar och uppdatera eventuella undantag eller anpassade regler innan du övergår till förebyggande läge. Det hjälper också till att minska förekomsten av oväntad blockerad trafik.
WAF-motor
WAF-motorn är den komponent som inspekterar trafiken och identifierar om en begäran innehåller en signatur som indikerar en potentiell attack. När du använder CRS 3.2 eller senare kör brandväggen för webbprogrammet den nya WAF-motorn, vilket ger dig högre prestanda och en förbättrad uppsättning funktioner. När du använder tidigare versioner av CRS körs din WAF på en äldre motor. Nya funktioner är endast tillgängliga i den nya WAF-motorn.
WAF-åtgärder
Du kan välja vilken åtgärd som WAF ska köra när en begäran matchar ett regelvillkor. Application Gateway stöder följande åtgärder:
- Tillåt: Begäran skickas via WAF och vidarebefordras till serverdelen. Inga ytterligare regler med lägre prioritet kan blockera den här begäran. Dessa åtgärder gäller endast för Bot Manager-regeluppsättningen. De gäller inte för CRS.
- Blockera: Begäran är blockerad. WAF skickar ett svar till klienten utan att vidarebefordra begäran till serverdelen.
- Logg: Begäran loggas i WAF-loggarna. WAF fortsätter att utvärdera regler med lägre prioritet.
- Avvikelsepoäng: Den här åtgärden är standardvärdet för CRS. Den totala avvikelsepoängen ökas när en begäran matchar en regel med den här åtgärden. Avvikelsebedömning gäller inte för Bot Manager-regeluppsättningen.
Läge för avvikelsebedömning
OWASP har två lägen för att avgöra om trafik ska blockeras: traditionell och avvikelsebedömning.
I traditionellt läge betraktas trafik som matchar alla regler oberoende av andra regelmatchningar. Det här läget är lätt att förstå, men bristen på information om hur många regler som matchar en specifik begäran är en begränsning. Därför introducerades avvikelsebedömningsläget som standard för OWASP 3. x.
I avvikelsebedömningsläge blockeras inte trafik som matchar någon regel omedelbart när brandväggen är i förebyggande läge. Regler har en viss allvarlighetsgrad: Kritisk, Fel, Varning eller Meddelande. Den allvarlighetsgraden påverkar ett numeriskt värde för begäran, vilket är avvikelsepoängen. Till exempel bidrar en varningsregelmatchning med 3 till poängen. En kritisk regelmatchning bidrar med 5.
| Allvarlighet | Värde |
|---|---|
| Kritiskt | 5 |
| Fel | 4 |
| Varning | 3 |
| Viktigt meddelande | 2 |
Det finns ett tröskelvärde på 5 för avvikelsepoängen för att blockera trafik. Därför räcker det med en enda kritisk regelmatchning för Application Gateway WAF för att blockera en begäran i förebyggande läge. Men en varningsregelmatchning ökar bara avvikelsepoängen med 3, vilket inte räcker för att blockera trafiken.
Anmärkning
Meddelandet som loggas när en WAF-regel matchar trafiken innehåller åtgärdsvärdet Matchat. Om den totala avvikelsepoängen för alla matchade regler är 5 eller högre och WAF-principen körs i förebyggande läge utlöser begäran en obligatorisk avvikelseregel med åtgärdsvärdet Blockerad och begäran stoppas. Om WAF-principen körs i identifieringsläge utlöser begäran åtgärdsvärdet Identifierat och begäran loggas och skickas till serverdelen. Mer information finns i Förstå WAF-loggar.
Konfiguration
Du kan konfigurera och distribuera alla WAF-principer med hjälp av Azure-portalen, REST-API:er, Azure Resource Manager-mallar och Azure PowerShell. Du kan också konfigurera och hantera WAF-principer i stor skala med hjälp av Azure Firewall Manager-integrering. Mer information finns i Konfigurera WAF-principer med Azure Firewall Manager.
WAF-övervakning
Det är viktigt att övervaka hälsotillståndet för din programgateway. Du kan uppnå det genom att integrera din WAF (och de program som den hjälper till att skydda) med Microsoft Defender för molnet, Azure Monitor och Azure Monitor-loggar.
Azure Monitor
Application Gateway-loggar är integrerade med Azure Monitor så att du kan spåra diagnostikinformation, inklusive WAF-aviseringar och loggar. Du kan komma åt den här funktionen i Azure-portalen på fliken Diagnostik för Application Gateway-resursen. Eller så kan du komma åt den direkt i Azure Monitor.
Mer information om hur du använder loggar finns i Diagnostikloggar för Application Gateway.
Microsoft Defender för molnet
Defender för molnet hjälper dig att förhindra, identifiera och svara på hot. Det ger ökad insyn i och kontroll över säkerheten för dina Azure-resurser. Application Gateway är integrerat med Defender för molnet.
Defender för molnet söker igenom din miljö för att identifiera oskyddade webbprogram. Den kan rekommendera en Application Gateway WAF för att skydda dessa sårbara resurser.
Du skapar brandväggarna direkt från Defender för molnet. Dessa WAF-instanser är integrerade med Defender för molnet. De skickar aviseringar och hälsoinformation till Defender för molnet för rapportering.
Microsoft Sentinel
Microsoft Sentinel är en skalbar, molnbaserad lösning som omfattar hantering av säkerhetsinformationshändelser (SIEM) och automatiserat svar för säkerhetsorkestrering (SOAR). Microsoft Sentinel levererar intelligent säkerhetsanalys och hotinformation i hela företaget. Det ger en enda lösning för aviseringsidentifiering, synlighet för hot, proaktiv jakt och hotsvar.
Med arbetsboken för brandväggshändelser inbyggd i Azure Web Application Firewall kan du få en översikt över säkerhetshändelserna i din WAF. Översikten innehåller matchade regler, blockerade regler och alla andra loggade brandväggsaktiviteter.
Azure Monitor-arbetsbok för WAF
Azure Monitor-arbetsboken för WAF möjliggör anpassad visualisering av säkerhetsreleverliga WAF-händelser i flera filterbara paneler. Den fungerar med alla WAF-typer, inklusive Application Gateway, Azure Front Door och Azure Content Delivery Network.
Du kan filtrera den här arbetsboken baserat på WAF-typ eller en specifik WAF-instans. Du importerar den via Azure Resource Manager-mallen eller gallerimallen.
Information om hur du distribuerar den här arbetsboken finns i GitHub-lagringsplatsen för Azure Web Application Firewall.
Loggning / Skogsavverkning
Application Gateway WAF innehåller detaljerad rapportering om varje hot som identifieras. Loggning är integrerad med Azure Diagnostics-loggar. Aviseringar registreras i JSON-format. Du kan integrera dessa loggar med Azure Monitor-loggar.
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
"operationName": "ApplicationGatewayFirewall",
"time": "2017-03-20T15:52:09.1494499Z",
"category": "ApplicationGatewayFirewallLog",
"properties": {
{
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIp": "203.0.113.145",
"clientPort": "0",
"requestUri": "/",
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"ruleId": "920350",
"ruleGroup": "920-PROTOCOL-ENFORCEMENT",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
"data": "127.0.0.1",
"file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
"line": "791"
},
"hostname": "127.0.0.1",
"transactionId": "16861477007022634343"
"policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
"policyScope": "Global",
"policyScopeName": " Global "
}
}
}
WaF-priser för Application Gateway
Prismodellerna skiljer sig åt för WAF_v1 och WAF_v2 versioner. Mer information finns i Priser för Application Gateway.
Nyheter
Information om vad som är nytt med Azure Web Application Firewall finns i Azure-uppdateringar.