Azure Web Application Firewall i Azure Content Delivery Network

En Azure Web Application Firewall-distribution i Azure Content Delivery Network ger ett centraliserat skydd för ditt webbinnehåll. Azure Web Application Firewall skyddar dina webbtjänster mot vanliga sårbarheter och sårbarheter. Det hjälper dig att hålla din tjänst mycket tillgänglig för dina användare och hjälper dig att uppfylla efterlevnadskraven.

Azure Web Application Firewall i Azure Content Delivery Network är en global och centraliserad lösning. Den distribueras på Azure-nätverksgränsplatser över hela världen. Azure Web Application Firewall stoppar skadliga attacker nära attackkällorna innan de når ditt ursprung. Du får globalt skydd i stor skala utan att offra prestanda.

En waf-princip (brandvägg för webbprogram) länkar till alla CDN-slutpunkter (Content Delivery Network) i din prenumeration. Du kan distribuera nya regler inom några minuter, så att du snabbt kan svara på ändrade hotmönster.

WAF-princip och -regler

Du kan konfigurera en WAF-princip och associera den principen med en eller flera CDN-slutpunkter för skydd. En WAF-princip består av två typer av säkerhetsregler:

• Anpassade regler: Regler som du kan skapa själv.
• Hanterade regeluppsättningar: Azure-hanterade förkonfigurerade regler som du kan aktivera.

När båda finns bearbetar WAF anpassade regler innan reglerna bearbetas i en hanterad regeluppsättning.

En regel består av ett matchningsvillkor, en prioritet och en åtgärd. Åtgärdstyper som stöds är ALLOW, BLOCK, LOGoch REDIRECT. Du kan skapa en helt anpassad princip som uppfyller dina specifika krav för programskydd genom att kombinera hanterade och anpassade regler.

WAF bearbetar regler inom en princip i prioritetsordning. Prioritet är ett unikt heltal som definierar ordningen på de regler som ska bearbetas. Mindre tal har högre prioritet och WAF utvärderar dessa regler före regler som har ett större värde. När WAF matchar en regel med en begäran tillämpar den motsvarande åtgärd som regeln definierar för begäran. När WAF har bearbetat en sådan matchning bearbetas inte regler som har lägre prioritet ytterligare.

Ett webbprogram som finns i Azure Content Delivery Network kan bara ha en WAF-princip som är associerad med den i taget. Du kan dock ha en CDN-slutpunkt utan några WAF-principer som är associerade med den. Om det finns en WAF-princip replikeras den till alla gränsplatser för att säkerställa konsekventa säkerhetsprinciper över hela världen.

Anpassade regler

Anpassade regler kan vara:

• Matchningsregler: Du kan konfigurera följande anpassade matchningsregler:

  • Lista över tillåtna och blockerade IP-adresser: Du kan styra åtkomsten till dina webbprogram baserat på en lista över klientens IP-adresser eller IP-adressintervall. Både IPv4- och IPv6-adresstyper stöds.

    IP-listregler använder RemoteAddress IP-adressen i X-Forwarded-For begärandehuvudet och inte SocketAddress det värde som WAF använder. Du kan konfigurera IP-listor för att antingen blockera eller tillåta begäranden där IP-adressen RemoteAddress matchar en IP-adress i listan.

    Om du har ett krav på att blockera begäranden på den käll-IP-adress som WAF använder (till exempel proxyserveradressen om användaren finns bakom en proxyserver) bör du använda Azure Front Door Standard- eller Premium-nivån. Mer information finns i Konfigurera en IP-begränsningsregel med en WAF för Azure Front Door.

  • Geografisk åtkomstkontroll: Du kan styra åtkomsten till dina webbprogram baserat på landskoden som är associerad med en klients IP-adress.

  • HTTP-parameterbaserad åtkomstkontroll: Du kan basera regler på strängmatchningar i HTTP- eller HTTPS-begärandeparametrar. Exempel är frågesträngar, POST argument, begärande-URI, begärandehuvud och begärandetext.

  • Begär metodbaserad åtkomstkontroll: Du kan basera regler på HTTP-begärandemetoden för begäran. Exempel är GET, PUToch HEAD.

  • Storleksbegränsning: Du kan basera regler på längden på vissa delar av en begäran, till exempel frågesträng, URI eller begärandetext.

• Regler för hastighetskontroll: Dessa regler begränsar onormalt hög trafik från alla klient-IP-adresser.

  Du kan konfigurera ett tröskelvärde för antalet webbbegäranden som tillåts från en klient-IP-adress under en minut. Den här regeln skiljer sig från en IP-listbaserad anpassad regel som antingen tillåter alla eller blockerar alla begäranden från en klient-IP-adress.

  Hastighetsbegränsningar kan kombineras med fler matchningsvillkor, till exempel HTTP- eller HTTPS-parametermatchningar, för detaljerad hastighetskontroll.

Azure-hanterade regeluppsättningar

Azure-hanterade regeluppsättningar är ett sätt att distribuera skydd mot en gemensam uppsättning säkerhetshot. Eftersom Azure hanterar dessa regeluppsättningar uppdateras reglerna efter behov för att skydda mot nya attacksignaturer. Den Azure-hanterade standardregeluppsättningen innehåller regler mot följande hotkategorier:

• Skriptkörning över flera webbplatser
• Javaattacker
• Lokal fil inkludering
• PHP-injektionsattacker
• Fjärrkommandokörning
• Inkludering av fjärrfil
• Sessionsfixering
• Skydd mot SQL-inmatning
• Protokollangripare

Versionsnumret för standardregeluppsättningen ökar när nya attacksignaturer läggs till i regeluppsättningen.

Standardregeluppsättningen är aktiverad som standard i identifieringsläge i dina WAF-principer. Du kan inaktivera eller aktivera enskilda regler i standardregeluppsättningen för att uppfylla dina programkrav. Du kan också ange specifika åtgärder (ALLOW, BLOCK, LOGoch REDIRECT) per regel. Standardåtgärden för den hanterade standardregeluppsättningen är BLOCK.

Anpassade regler tillämpas alltid innan WAF utvärderar reglerna i standardregeluppsättningen. Om en begäran matchar en anpassad regel tillämpar WAF motsvarande regelåtgärd. Begäran blockeras eller skickas till serverdelen. Inga andra anpassade regler eller regler i standardregeluppsättningen bearbetas. Du kan också ta bort standardregeluppsättningen från dina WAF-principer.

WAF-lägen

Du kan konfigurera en WAF-princip så att den körs i följande två lägen:

• Identifieringsläge: WAF vidtar inga andra åtgärder än övervakning och loggning av begäran och dess matchade WAF-regel till WAF-loggar. Du kan aktivera loggningsdiagnostik för Azure Content Delivery Network. När du använder Azure-portalen går du till avsnittet Diagnostik .
• Förebyggande läge: WAF vidtar den angivna åtgärden om en begäran matchar en regel. Om den hittar en matchning utvärderas inga ytterligare regler som har lägre prioritet. Alla matchade begäranden loggas också i WAF-loggarna.

WAF-åtgärder

Du kan välja någon av följande åtgärder när en begäran matchar en regels villkor:

• ALLOW: Begäran skickas via WAF och vidarebefordras till serverdelen. Inga ytterligare regler med lägre prioritet kan blockera den här begäran.
• BLOCK: Begäran är blockerad. WAF skickar ett svar till klienten utan att vidarebefordra begäran till serverdelen.
• LOG: Begäran loggas i WAF-loggarna. WAF fortsätter att utvärdera regler med lägre prioritet.
• REDIRECT: WAF omdirigerar begäran till den angivna URI:n. Den angivna URI:n är en principnivåinställning. När du har konfigurerat inställningen skickas alla begäranden som matchar REDIRECT åtgärden till den URI:n.

Konfiguration

Du kan konfigurera och distribuera alla WAF-regeltyper med hjälp av Azure-portalen, REST-API:er, Azure Resource Manager-mallar och Azure PowerShell.

Övervakning

Övervakning för Azure Web Application Firewall i Azure Content Delivery Network är integrerat med Azure Monitor för att hjälpa dig att spåra aviseringar och övervaka trafiktrender.

Relaterat innehåll

• Kommandoreferens för hantering av WAF-principer