In diesem Artikel werden gängige Fragen zu den Features und Funktionen von Azure Web Application Firewall (WAF) in Azure Front Door Service beantwortet.
Was ist Azure WAF?
Azure WAF ist eine Web Application Firewall, die dazu beiträgt, Ihre Webanwendungen vor allgemeinen Bedrohungen wie Einschleusung von SQL-Befehlen, Cross-Site Scripting und anderen Web-Exploits zu schützen. Sie können eine WAF-Richtlinie mit einer Kombination aus benutzerdefinierten und verwalteten Regeln definieren, um den Zugriff auf Ihre Webanwendungen zu steuern.
Eine Azure WAF-Richtlinie kann auf Webanwendungen angewendet werden, die in Application Gateway oder Azure Front Door gehostet werden.
Was ist WAF in Azure Front Door?
Azure Front Door Service ist ein hochgradig skalierbares, global verteiltes APN (Application Delivery Network) und CDN (Content Delivery Network). Nach der Integration in Front Door unterbindet Azure WAF Denial-of-Service-Angriffe und gezielte Anwendungsangriffe im Edgebereich nahe der Angriffsquelle, bevor Angreifer in Ihr virtuelles Netzwerk eindringen, und bietet Schutz ohne Leistungseinbußen.
Wird HTTPS von Azure WAF unterstützt?
Frontdoor bietet TLS-Abladung. WAF ist nativ in Front Door integriert und kann Anforderungen nach ihrer Entschlüsselung untersuchen.
Wird IPv6 von Azure WAF unterstützt?
Ja. Sie können IP-Einschränkungen für IPv4 und IPv6 konfigurieren. Weitere Informationen finden Sie unter IPv6-Einführung: Verbessern von Azure WAF auf Front Door.
Wie aktuell sind die verwalteten Regelsätze?
Wir tun unser Bestes, um mit der dynamischen Bedrohungslage Schritt zu halten. Nachdem eine neue Regel aktualisiert wurde, wird sie dem Standardregelsatz mit einer neuen Versionsnummer hinzugefügt.
Wie lange dauert es, bis eine Änderung, die ich an meiner WAF-Richtlinie vorgenommen habe, verteilt wurde?
Die meisten WAF-Richtlinienbereitstellungen werden in weniger als 20 Minuten abgeschlossen. Sie können damit rechnen, dass die Richtlinie in Kraft tritt, sobald das Update global and allen Edgestandorten abgeschlossen ist.
Können für verschiedene Regionen unterschiedliche WAF-Richtlinien verwendet werden?
Wenn WAF in Front Door integriert wird, ist WAF eine globale Ressource. Die gleiche Konfiguration gilt also für alle Front Door-Standorte.
Wie kann ich den Zugriff auf mein Back-End allein auf Zugriffe über Front Door beschränken?
Sie können die IP-Zugriffssteuerungsliste Ihres Back-Ends so konfigurieren, dass Zugriffe nur über ausgehende IP-Adressbereiche von Front Door, die das Azure Front Door-Diensttag verwenden, zugelassen werden und jeglicher Direktzugriff über das Internet abgelehnt wird. Diensttags werden unterstützt und können für Ihr virtuelles Netzwerk verwendet werden. Darüber hinaus können Sie überprüfen, ob das HTTP-Headerfeld „X-Forwarded-Host“ für Ihre Webanwendung gültig ist.
Welche Azure WAF-Optionen soll ich auswählen?
Beim Anwenden von WAF-Richtlinien in Azure gibt es zwei Optionen. WAF mit Azure Front Door ist eine global verteilte Edgesicherheitslösung. WAF mit Application Gateway ist eine regionale, dedizierte Lösung. Es empfiehlt sich, eine Lösung zu wählen, die zu Ihren individuellen Leistungs- und Sicherheitsanforderungen passt. Weitere Informationen finden Sie unter Lastenausgleich mit der Azure-Suite für die Anwendungsbereitstellung.
Was ist die empfohlene Vorgehensweise, um WAF für Front Door zu aktivieren?
Wenn Sie WAF für eine vorhandene Anwendung aktivieren, treten häufig False Positive-Erkennungen auf, bei denen die WAF-Regeln legitimen Datenverkehr als Bedrohung erkennen. Um das Risiko einer Beeinträchtigung für die Benutzer zu minimieren, wird der folgende Prozess empfohlen:
- Aktivieren Sie WAF im Modus Erkennung, um sicherzustellen, dass WAF keine Anforderungen blockiert, während Sie diesen Prozess durchlaufen. Dieser Schritt wird für Testzwecke in WAF empfohlen.
Wichtig
In diesem Prozess wird beschrieben, wie Sie WAF für eine neue oder vorhandene Lösung aktivieren, wenn die Priorität darin besteht, Störungen für die Benutzer Ihrer Anwendung zu minimieren. Bei einem Angriff oder einer unmittelbaren Bedrohung sollten Sie WAF stattdessen sofort im Schutzmodus bereitstellen und den Optimierungsprozess verwenden, um WAF über einen Zeitraum zu überwachen und zu optimieren. Dies führt wahrscheinlich dazu, dass ein Teil des legitimen Datenverkehrs blockiert wird. Aus diesem Grund wird dieses Vorgehen nur im Fall einer Bedrohung empfohlen.
- Befolgen Sie die Anweisungen zum Optimieren von WAF. Für diesen Prozess ist es erforderlich, dass Sie die Diagnoseprotokollierung aktivieren, die Protokolle regelmäßig überprüfen und Regelausschlüsse und andere Risikominderungen hinzufügen.
- Wiederholen Sie diesen Prozess, und überprüfen Sie die Protokolle regelmäßig, bis Sie sicher sind, dass kein legitimer Datenverkehr blockiert wird. Der gesamte Prozess kann mehrere Wochen dauern. Im Idealfall sollten nach jeder vorgenommenen Optimierungsänderung weniger False Positive-Erkennungen auftreten.
- Aktivieren Sie schließlich WAF im Schutzmodus.
- Selbst wenn Sie WAF in der Produktionsumgebung ausführen, sollten Sie die Protokolle weiterhin überwachen, um andere False Positive-Erkennungen zu identifizieren. Durch regelmäßiges Überprüfen der Protokolle können Sie auch alle tatsächlichen Angriffsversuche ermitteln, die blockiert wurden.
Werden auf allen integrierten Plattformen die gleichen WAF-Funktionen unterstützt?
ModSec CRS 3.0-, CRS 3.1- und CRS 3.2-Regeln werden derzeit nur bei Verwendung von WAF mit Application Gateway unterstützt. Ratenbegrenzung und von Azure verwaltete Standardregelsatz-Regeln werden nur bei Verwendung von WAF in Azure Front Door unterstützt.
Ist DDoS-Schutz in Front Door integriert?
Azure Front Door wird global im Edgebereich des Azure-Netzwerks verteilt. Dadurch kann der Dienst groß angelegte Angriffe absorbieren und geografisch isolieren. Sie können eine benutzerdefinierte WAF-Richtlinie erstellen, um HTTP(S)-Angriffe mit bekannten Signaturen automatisch zu blockieren sowie eine Ratenbegrenzung anzuwenden. Darüber hinaus können Sie DDoS-Netzwerkschutz für das VNET aktivieren, in dem Ihre Back-Ends bereitgestellt werden. Azure DDoS Protection-Kunden profitieren von weiteren Vorteilen wie Kostenschutz, SLA-Garantie und Zugang zu Experten des DDoS Rapid Response-Teams für Soforthilfe im Angriffsfall. Weitere Informationen finden Sie unter DDoS-Schutz für Front Door.
Warum werden zusätzliche Anforderungen oberhalb des Schwellenwerts, der für meine Ratenbegrenzungsregel konfiguriert ist, an meinen Back-End-Server übergeben?
Möglicherweise werden Anforderungen nicht sofort durch die Ratenbegrenzung blockiert, wenn Anforderungen von verschiedenen Front Door-Servern verarbeitet werden. Weitere Informationen finden Sie unter Ratenbegrenzung und Front Door-Server.
Welche Inhaltstypen werden von WAF unterstützt?
Front Door WAF unterstützt die folgenden Inhaltstypen:
DRS 2.0
Verwaltete Regeln
- Anwendung/json
- application/xml
- application/x-www-form-urlencoded
- multipart/form-data
Benutzerdefinierte Regeln
- application/x-www-form-urlencoded
DRS 1.x
Verwaltete Regeln
- application/x-www-form-urlencoded
- text/plain
Benutzerdefinierte Regeln
- application/x-www-form-urlencoded
Kann ich eine Front Door-WAF-Richtlinie auf Front-End-Hosts in verschiedenen Front Door Premium (ADFX)-Profilen anwenden, die zu verschiedenen Abonnements gehören?
Nein, das ist nicht möglich. Das AFD-Profil und die WAF-Richtlinie müssen sich im selben Abonnement befinden.
Nächste Schritte
- Erfahren Sie mehr über Azure Web Application Firewall.
- Erfahren Sie mehr zu Azure Front Door.