Azure Front Door 上的 Azure Web 應(yīng)用程序防火墻,azure防火墻-ESG跨境

Azure Front Door 上的 Azure Web 應(yīng)用程序防火墻,azure防火墻

Azure Front Door 上的 Azure Web 應(yīng)用程序防火墻

Azure Front Door上的Azure Web應(yīng)用程序防火墻(WAF)為Web應(yīng)用程序提供集中保護(hù)。WAF可以防范Web服務(wù)遭到常見的惡意利用和出現(xiàn)漏洞。它使服務(wù)對用戶高度可用，并幫助滿足合規(guī)性要求。

Front Door上的WAF是一個全球性的集中式解決方案。它部署在全球各地的Azure網(wǎng)絡(luò)邊緣位置。啟用了WAF的Web應(yīng)用程序會檢查Front Door在網(wǎng)絡(luò)邊緣傳快遞的每個傳入請求。

在惡意攻擊進(jìn)入虛擬網(wǎng)絡(luò)之前，WAF會阻止這些攻擊靠近攻擊源。你可以獲得大規(guī)模的全局保護(hù)，且不會降低性能。WAF策略可輕松鏈接到訂閱中的任何Front Door配置文件。在幾分鐘內(nèi)就能部署新的規(guī)則，因此可以快速響應(yīng)不斷變化的威脅模式。

WAF策略和規(guī)則

可以配置一個WAF策略，然后將該策略與一個或多個Front Door前端關(guān)聯(lián)，以提供保護(hù)。WAF策略包含兩種類型的安全規(guī)則：

·客戶創(chuàng)作的自定義規(guī)則。

·托管規(guī)則集，即由Azure托管的預(yù)配置規(guī)則設(shè)置的集合。

如果兩者均存在，則先處理自定義規(guī)則，然后處理托管規(guī)則集中的規(guī)則。規(guī)則由匹配條件、優(yōu)先級和操作組成。支持的操作類型包括：允許、阻止、記錄和重定向?？梢越M合托管規(guī)則和自定義規(guī)則以創(chuàng)建滿足特定應(yīng)用程序保護(hù)要求的完全自定義策略。

策略中的規(guī)則按優(yōu)先順序進(jìn)行處理?！皟?yōu)先級”是唯一的整數(shù)，定義規(guī)則的處理順序。整數(shù)值越小表示優(yōu)先級越高，這些規(guī)則的評估順序先于整數(shù)值較大的規(guī)則。匹配規(guī)則后，規(guī)則中定義的相應(yīng)操作將應(yīng)用于請求。處理此類匹配后，不再進(jìn)一步處理優(yōu)先級較低的規(guī)則。

Front Door交付的Web應(yīng)用程序一次只能與一個WAF策略關(guān)聯(lián)。但可以使用Front Door配置，且無需將其與任何WAF策略關(guān)聯(lián)。如果WAF策略存在，它將復(fù)制到所有邊緣位置，以確保全球的安全策略保持一致。

WAF模式

WAF策略可配置為在以下兩種模式下運(yùn)行：

·檢測模式：在檢測模式下運(yùn)行時，WAF除進(jìn)行監(jiān)視并將請求及其匹配的WAF規(guī)則記錄到WAF日志中以外，不會執(zhí)行任何其他操作?？蔀镕ront Door啟用日志診斷。如果使用門戶，請轉(zhuǎn)到“診斷”部分。

·阻止模式：在阻止模式下，如果請求與規(guī)則匹配，WAF將執(zhí)行指定的操作。如果找到匹配項(xiàng)，則不會評估優(yōu)先級更低的規(guī)則。任何匹配的請求也會記錄在WAF日志中。

WAF操作

如果請求匹配規(guī)則的條件，WAF客戶可以選擇運(yùn)行其中某個操作：

·允許：請求通過WAF傳遞并轉(zhuǎn)發(fā)到后端。沒有其他優(yōu)先級較低的規(guī)則可以阻止此請求。

·阻止：請求受阻，WAF將響應(yīng)發(fā)國際快遞客戶端，且不會將請求轉(zhuǎn)發(fā)到后端。

·記錄：請求記錄在WAF日志中，且WAF繼續(xù)評估優(yōu)先級較低的規(guī)則。

·重定向：WAF將請求重定向到指定的URI。指定的URI是策略級別設(shè)置。配置后，與“重定向”操作匹配的所有請求都將發(fā)國際快遞該URI。

WAF規(guī)則

WAF策略可以由安全規(guī)則（由客戶創(chuàng)作的自定義規(guī)則）和托管規(guī)則集（由Azure托管的預(yù)配置規(guī)則集）這兩種類型組成。

自定義創(chuàng)作規(guī)則

可按如下方式配置自定義規(guī)則WAF：

·IP允許列表和阻止列表：可以基于客戶端IP地址列表或IP地址范圍來控制對Web應(yīng)用程序的訪問。支持IPv4和IPv6地址類型。可將此列表配置為阻止或允許源IP與列表中的IP匹配的請求。

·基于地理位置的訪問控制：可以基于與客戶端IP地址相關(guān)聯(lián)的國家/地區(qū)代碼來控制對Web應(yīng)用程序的訪問。

·基于HTTP參數(shù)的訪問控制：可使規(guī)則基于HTTP/HTTPS請求參數(shù)中的字符串匹配項(xiàng)。例如，查詢字符串、POST參數(shù)、請求URI、請求標(biāo)頭和請求正文。

·基于請求方法的訪問控制：使規(guī)則基于請求的HTTP請求方法。例如GET、PUT或HEAD。

·大小約束：可使規(guī)則基于請求的特定部分（例如查詢字符串、URI或請求正文）的長度。

·速率限制規(guī)則：速率控制規(guī)則用于限制任何客戶端IP發(fā)出的異常高的流量。對于客戶端IP在一分鐘內(nèi)允許的Web請求數(shù)，可以配置一個閾值。此規(guī)則與基于IP列表的允許/阻止自定義規(guī)則不同，后者允許或阻止客戶端IP的所有請求。速率限制可以與其他匹配條件（例如用于粒度速率控制的HTTP(S)參數(shù)匹配）結(jié)合使用。

Azure托管的規(guī)則集

Azure托管的規(guī)則集可輕松針對一組常見的安全威脅來部署保護(hù)。由于此類規(guī)則集由Azure托管，因此這些規(guī)則會根據(jù)需要進(jìn)行更新以預(yù)防新的攻擊簽名。Azure托管的默認(rèn)規(guī)則集包含針對以下威脅類別的規(guī)則：

·跨站點(diǎn)腳本

·Java攻擊

·本地文件包含

·PHP注入攻擊

·遠(yuǎn)程命令執(zhí)行

·遠(yuǎn)程文件包含

·會話固定

·SQL注入保護(hù)

·協(xié)議攻擊者

將新的攻擊簽名添加到規(guī)則集時，默認(rèn)規(guī)則集的版本號將遞增。默認(rèn)規(guī)則集在WAF策略的檢測模式下默認(rèn)啟用?？梢越没騿⒂媚J(rèn)規(guī)則集內(nèi)的各個規(guī)則以滿足應(yīng)用程序要求。還可以根據(jù)規(guī)則設(shè)置特定操作（允許/阻止/重定向/記錄）。

有時你可能需要忽略WAF評估中的某些請求屬性。一個常見的例子是用于身份驗(yàn)證的Active Directory插入令牌?？梢詾橥泄芤?guī)則、規(guī)則組或整個規(guī)則集配置排除列表。

默認(rèn)操作為“阻止”。此外，如果想要繞過默認(rèn)規(guī)則集中的任何預(yù)配置規(guī)則，可以在同一WAF策略中配置自定義規(guī)則。

在評估默認(rèn)規(guī)則集中的規(guī)則之前，自定義規(guī)則始終適用。如果請求與某個自定義規(guī)則相匹配，將應(yīng)用相應(yīng)的規(guī)則操作。請求將被阻止，或通過后端傳遞。不會處理任何其他自定義規(guī)則或默認(rèn)規(guī)則集中的規(guī)則。還可以從WAF策略中刪除默認(rèn)規(guī)則集。

機(jī)器人防護(hù)規(guī)則集（預(yù)覽版）

可以啟用托管機(jī)器人防護(hù)規(guī)則集，以便針對來自已知機(jī)器人類別的請求執(zhí)行自定義操作。

支持三種機(jī)器人類別：“不良”、“良好”和“未知”。機(jī)器人簽名由WAF平臺管理和動態(tài)更新。

不良的機(jī)器人包括來自惡意IP地址的機(jī)器人，以及偽造了其身份的機(jī)器人。惡意IP地址源自于Microsoft威脅情報(bào)源，每小時更新一次。Intelligent Security Graph為Microsoft威脅智能助力，它已得到Azure安全中心等多項(xiàng)服務(wù)的運(yùn)用。

善意機(jī)器人包括經(jīng)過驗(yàn)證的搜索引擎?！拔粗鳖悇e包括將自身標(biāo)識為機(jī)器人的其他機(jī)器人組。例如市場分析器、源提取器和數(shù)據(jù)收集代理。

未知的機(jī)器人是通過已發(fā)布的用戶代理分類的，未經(jīng)過附加的驗(yàn)證?？蔀椴煌愋偷臋C(jī)器人設(shè)置自定義的阻止、允許、記錄或重定向操作。

重要

機(jī)器人防護(hù)規(guī)則集當(dāng)前為公共預(yù)覽版，并提供預(yù)覽版服務(wù)級別協(xié)議。某些功能可能不受支持或者受限。有關(guān)詳細(xì)信息，請參閱Microsoft Azure預(yù)覽版補(bǔ)充使用條款。

如果啟用了機(jī)器人防護(hù)，則與機(jī)器人規(guī)則匹配的傳入請求將記錄在FrontdoorWebApplicationFirewallLog日志中。可從存儲帳戶、事件中心或日志分析訪問WAF日志。

配置

可以使用Azure門戶、REST API、Azure資源管理器模板和Azure PowerShell來配置和部署所有WAF規(guī)則類型。

監(jiān)視

在Front Door監(jiān)視WAF與Azure Monitor集成，以便跟蹤警報(bào)并輕松監(jiān)視流量趨勢。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。