Een Web Application Firewall implementeren in Azure Front Door

  • 10 minuten

WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen. SQL-injectie en cross-site scripting zijn twee van de meest voorkomende aanvallen.

Diagram van een globaal WAF-beleid met toegang toestaan en weigeren.

Het is lastig om aanvallen in toepassingscode te voorkomen. Preventie kan strikt onderhoud, patches en bewaking vereisen op meerdere lagen van de toepassing. Een gecentraliseerde WAF helpt beveiligingsbeheer eenvoudiger te maken. Een WAF biedt toepassingsbeheerders ook betere bescherming tegen bedreigingen en indringers.

Een WAF-oplossing kan ook sneller reageren op een beveiligingsrisico door centraal een patch voor een bekend beveiligingsprobleem toe te passen, in plaats van elke afzonderlijke webtoepassing te beveiligen.

Web Application Firewall-beleidsmodi

Er zijn twee WAF-beleidsmodi: Detectie en preventie. Een WAF-beleid bevindt zich standaard in de detectiemodus. In de modus Detectie worden er door WAF geen aanvragen geblokkeerd. In plaats daarvan worden aanvragen die overeenkomen met de WAF-regels vastgelegd. In de preventiemodus worden aanvragen die overeenkomen met regels geblokkeerd en geregistreerd.

Schermopname van de WAF-beleidsmodi.

Standaardregelsetgroepen en -regels voor Web Application Firewall

Azure Front Door Web Application Firewall beschermt webtoepassingen tegen veelvoorkomende beveiligingsproblemen en aanvallen. Door Azure beheerde regelsets bieden een eenvoudige manier om beveiliging te implementeren op basis van een gemeenschappelijke set beveiligingsbedreigingen. Een Azure-regelset wordt zo nodig bijgewerkt om bescherming te bieden tegen nieuwe aanvalshandtekeningen.

Beheerde regels

Door Azure beheerde standaardregelset bevat regels voor deze bedreigingscategorieën:

  • Script uitvoeren op meerdere sites
  • Java-aanvallen
  • Lokale bestandsopname
  • PHP-injectieaanvallen
  • Uitvoeren van opdrachten op afstand
  • Externe bestandsopname
  • Sessiefixatie
  • Beveiliging tegen SQL-injecties
  • Protocolaanvallers

De standaardregelset die door Azure wordt beheerd, is standaard ingeschakeld. De huidige standaardversie is DefaultRuleSet_2.1. Andere regelsets zijn beschikbaar in de vervolgkeuzelijst.

Als u een afzonderlijke regel wilt uitschakelen, schakelt u het selectievakje vóór het regelnummer in en selecteert u Uitschakelen boven aan de pagina. Als u actietypen voor afzonderlijke regels in de regelset wilt wijzigen, schakelt u het selectievakje vóór het regelnummer in en selecteert u de actie Wijzigen boven aan de pagina.

Schermopname van de door WAF-beleid beheerde regels.

Aangepaste regels

Met Azure WAF met Front Door kunt u de toegang tot uw webtoepassingen beheren op basis van de voorwaarden die u definieert. Een aangepaste WAF-regel bestaat uit een prioriteitsnummer, regeltype, voorwaarden voor overeenkomst en een actie.

Er zijn twee soorten aangepaste regels: overeenkomstregels en frequentielimietregels. Een overeenkomstregel bepaalt de toegang op basis van een set overeenkomende voorwaarden. Een frequentielimietregel bepaalt de toegang op basis van overeenkomende voorwaarden en de frequenties van binnenkomende aanvragen.

Wanneer u een WAF-beleid maakt, kunt u een aangepaste regel maken door aangepaste regel toe te voegen onder de sectie Aangepaste regels. Hiermee opent u de pagina voor de configuratie van aangepaste regels.

Schermopname van de aangepaste regel voor HET WAF-beleid toevoegen.

In deze voorbeeldafbeelding ziet u de configuratie van een aangepaste regel om een aanvraag te blokkeren als de querytekenreeks blokme bevat.

Schermopname van de aangepaste regelconfiguratie voor WAF-beleid.

Een Web Application Firewall-beleid maken in Azure Front Door

In deze sectie wordt beschreven hoe u een eenvoudig Azure WAF-beleid maakt en toepast op een profiel in Azure Front Door.

De belangrijkste stappen voor het maken van een WAF-beleid in Azure Front Door met behulp van Azure Portal zijn:

  1. Maak een Web Application Firewall-beleid. Maak een basis WAF-beleid met beheerde standaardregelset (DRS).

  2. Koppel het WAF-beleid aan een Front Door-profiel. Koppel het WAF-beleid aan een Front Door-profiel. Deze koppeling kan worden uitgevoerd tijdens het maken van het WAF-beleid of kan worden uitgevoerd op een eerder gemaakt WAF-beleid. Geef in de koppeling het Front Door-profiel en het domein op om het beleid toe te passen.

  3. WaF-beleidsinstellingen en -regels configureren. Een optionele stap, waar u beleidsinstellingen zoals de modus (preventie of detectie) kunt configureren en beheerde regels en aangepaste regels kunt configureren.

Als u de gedetailleerde stappen voor al deze taken wilt bekijken, raadpleegt u Zelfstudie: Een Web Application Firewall-beleid maken in Azure Front Door met behulp van Azure Portal.