Nejčastější dotazy ke službě Azure Web Application Firewall ve službě Azure Front Door Service

Azure WAF je firewall webových aplikací, který pomáhá chránit vaše webové aplikace před běžnými hrozbami, jako je injektáž SQL, skriptování mezi weby a další zneužití webu. Můžete definovat zásady WAF, které se skládají z kombinace vlastních a spravovaných pravidel pro řízení přístupu k webovým aplikacím.

Zásady Azure WAF je možné použít pro webové aplikace hostované ve službě Application Gateway nebo ve službě Azure Front Door.

Azure Front Door je vysoce škálovatelná globálně distribuovaná aplikace a síť pro doručování obsahu. Azure WAF, když je integrovaná se službou Front Door, zastaví útoky na dostupnost služby a cílené aplikace na hraničním zařízení Azure, blízko ke zdrojům útoků před vstupem do vaší virtuální sítě, nabízí ochranu bez snížení výkonu.

Front Door nabízí přesměrování zpracování TLS. WAF je nativně integrovaný se službou Front Door a může po dešifrování požadavku zkontrolovat.

Ano. Omezení IP adres můžete nakonfigurovat pro protokolY IPv4 a IPv6. Další informace najdete v tématu Přechod na protokol IPv6: Vylepšení Azure WAF ve službě Front Door.

Snažíme se udržet krok s měnícím se prostředím hrozeb. Po aktualizaci nového pravidla se přidá do výchozí sady pravidel s novým číslem verze.

Většina nasazení zásad WAF se dokončí do 20 minut. Můžete očekávat, že se zásada projeví, jakmile se aktualizace dokončí na všech hraničních umístěních globálně.

Při integraci se službou Front Door je WAF globálním prostředkem. Stejná konfigurace platí pro všechna umístění služby Front Door.

V back-endu můžete nakonfigurovat seznam řízení přístupu IP adres tak, aby umožňoval pouze rozsahy odchozích IP adres služby Front Door pomocí značky služby Azure Front Door a odepřít veškerý přímý přístup z internetu. Značky služeb jsou podporované pro použití ve vaší virtuální síti. Kromě toho můžete ověřit platnost pole hlavičky HTTP pro X-Forwarded-Host pro vaši webovou aplikaci.

Při použití zásad WAF v Azure existují dvě možnosti. WAF se službou Azure Front Door je globálně distribuované hraniční řešení zabezpečení. WAF se službou Application Gateway je regionální vyhrazené řešení. Doporučujeme zvolit řešení na základě celkových požadavků na výkon a zabezpečení. Další informace najdete v tématu Vyrovnávání zatížení pomocí sady pro doručování aplikací Azure.

Když povolíte WAF v existující aplikaci, je běžné mít falešně pozitivní detekce, kdy pravidla WAF detekují legitimní provoz jako hrozbu. Pokud chcete minimalizovat riziko dopadu na uživatele, doporučujeme následující postup:

• Povolte WAF v režimu detekce, abyste zajistili, že WAF během tohoto procesu neblokuje požadavky. Tento krok se doporučuje pro účely testování waf.

  Důležité

  Tento proces popisuje, jak povolit WAF u nového nebo existujícího řešení, pokud je prioritou minimalizovat narušení uživatelů aplikace. Pokud dochází k útoku nebo bezprostřední hrozbě, můžete místo toho okamžitě nasadit WAF v režimu prevence a pomocí procesu ladění monitorovat a ladit WAF v průběhu času. To pravděpodobně způsobí zablokování některých legitimních přenosů, což je důvod, proč to doporučujeme provést pouze v případě ohrožení.

• Postupujte podle našich pokynů pro ladění WAF. Tento proces vyžaduje, abyste povolili protokolování diagnostiky, pravidelně kontrolujte protokoly a přidávali vyloučení pravidel a další omezení rizik.
• Celý tento proces opakujte a pravidelně kontrolujte protokoly, dokud nebudete spokojeni, že se neblokuje žádný legitimní provoz. Celý proces může trvat několik týdnů. V ideálním případě byste po každé změně ladění měli vidět méně falešně pozitivních detekcí.
• Nakonec povolte WAF v režimu prevence.
• I když spouštíte WAF v produkčním prostředí, měli byste protokoly dál monitorovat, abyste identifikovali všechny ostatní falešně pozitivní detekce. Pravidelné kontroly protokolů vám také pomůžou identifikovat všechny skutečné pokusy o útok, které byly zablokovány.

V současné době jsou pravidla MODSec CRS 3.0, CRS 3.1 a CRS 3.2 podporována pouze s WAF ve službě Application Gateway. Omezení rychlosti a pravidla výchozí sady pravidel spravované v Azure se podporují jenom u WAF ve službě Azure Front Door.

Azure Front Door může globálně distribuovaný na hranách sítě Azure absorbovat a geograficky izolovat velké objemy útoků. Můžete vytvořit vlastní zásady WAF, které automaticky blokují a omezují útoky HTTP, které mají známé podpisy. Další možností je povolit ochranu sítě DDoS ve virtuální síti, ve které jsou nasazené back-endy. Zákazníci azure DDoS Protection získají další výhody, včetně ochrany nákladů, záruky SMLOUVY SLA a přístupu k odborníkům z týmu DDoS Rapid Response Team pro okamžitou pomoc během útoku. Další informace najdete v tématu Ochrana před útoky DDoS ve službě Front Door.

Při zpracování požadavků různými servery služby Front Door se nemusí žádosti okamžitě zablokovat limitem rychlosti. Další informace najdete v tématu Omezování rychlosti a servery služby Front Door.

Front Door WAF podporuje následující typy obsahu:

• DRS 2.0

  Spravovaná pravidla

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  Vlastní pravidla

  • application/x-www-form-urlencoded

• DRS 1.x

  Spravovaná pravidla

  • application/x-www-form-urlencoded
  • text/plain

  Vlastní pravidla

  • application/x-www-form-urlencoded

Ne, nemůžeš. Profil AFD a zásady WAF musí být ve stejném předplatném.

Další kroky

• Přečtěte si informace o službě Azure Web Application Firewall.
• Přečtěte si další informace o službě Azure Front Door.