Często zadawane pytania dotyczące usługi Azure Web Application Firewall w usłudze Azure Front Door Service

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące usługi Azure Web Application Firewall (WAF) w funkcjach i funkcjach usługi Azure Front Door Service.

Co to jest zapora aplikacji internetowej platformy Azure?

Zapora aplikacji internetowej platformy Azure to zapora aplikacji internetowej, która pomaga chronić aplikacje internetowe przed typowymi zagrożeniami, takimi jak wstrzyknięcie kodu SQL, wykonywanie skryptów między witrynami i inne luki w sieci Web. Możesz zdefiniować zasady zapory aplikacji internetowej składające się z kombinacji niestandardowych i zarządzanych reguł w celu kontrolowania dostępu do aplikacji internetowych.

Zasady zapory aplikacji internetowej platformy Azure można zastosować do aplikacji internetowych hostowanych w usłudze Application Gateway lub usłudze Azure Front Door.

Co to jest zapora aplikacji internetowej w usłudze Azure Front Door?

Usługa Azure Front Door to wysoce skalowalna, globalnie rozproszona aplikacja i sieć dostarczania zawartości. Zapora aplikacji internetowej platformy Azure, zintegrowana z usługą Front Door, zatrzymuje ataki typu "odmowa usługi" i ukierunkowane ataki aplikacji na brzegu sieci platformy Azure, w pobliżu źródeł ataków przed wejściem do sieci wirtualnej, zapewnia ochronę bez utraty wydajności.

Czy zapora aplikacji internetowej platformy Azure obsługuje protokół HTTPS?

Usługa Front Door oferuje odciążanie protokołu TLS. Zapora aplikacji internetowej jest natywnie zintegrowana z usługą Front Door i może sprawdzić żądanie po jego odszyfrowaniu.

Czy zapora aplikacji internetowej platformy Azure obsługuje protokół IPv6?

Tak. Możesz skonfigurować ograniczenie adresów IP dla protokołów IPv4 i IPv6. Aby uzyskać więcej informacji, zobacz IPv6 Adoption: Enhancing Azure WAF on Front Door (Wdrażanie protokołu IPv6: ulepszanie zapory aplikacji internetowej platformy Azure w usłudze Front Door).

Jak aktualne są zarządzane zestawy reguł?

Robimy wszystko, aby nadążyć za zmieniającym się krajobrazem zagrożeń. Po zaktualizowaniu nowej reguły zostanie ona dodana do domyślnego zestawu reguł z nowym numerem wersji.

Jaki jest czas propagacji, jeśli wprowadzim zmianę w zasadach zapory aplikacji internetowej?

Większość wdrożeń zasad zapory aplikacji internetowej kończy się w ciągu 20 minut. Zasady będą obowiązywać natychmiast po zakończeniu aktualizacji we wszystkich lokalizacjach brzegowych na całym świecie.

Czy zasady zapory aplikacji internetowej mogą być różne dla różnych regionów?

W przypadku integracji z usługą Front Door zapora aplikacji internetowej jest zasobem globalnym. Ta sama konfiguracja ma zastosowanie we wszystkich lokalizacjach usługi Front Door.

Jak mogę ograniczyć dostęp do zaplecza tylko z usługi Front Door?

Listę kontroli dostępu do adresów IP można skonfigurować w zapleczu, aby zezwalać tylko na zakresy adresów IP wychodzących usługi Front Door przy użyciu tagu usługi Azure Front Door i odmawiać dostępu bezpośredniego z Internetu. Tagi usług są obsługiwane do użycia w sieci wirtualnej. Ponadto możesz sprawdzić, czy pole nagłówka HTTP hosta X-Forwarded-Host jest prawidłowe dla aplikacji internetowej.

Które opcje zapory aplikacji internetowej platformy Azure należy wybrać?

Istnieją dwie opcje stosowania zasad zapory aplikacji internetowej na platformie Azure. Zapora aplikacji internetowej z usługą Azure Front Door to globalnie rozproszone, brzegowe rozwiązanie zabezpieczeń. Zapora aplikacji internetowej z usługą Application Gateway to regionalne, dedykowane rozwiązanie. Zalecamy wybranie rozwiązania na podstawie ogólnych wymagań dotyczących wydajności i zabezpieczeń. Aby uzyskać więcej informacji, zobacz Load-balancing with Azure application delivery suite (Równoważenie obciążenia za pomocą pakietu dostarczania aplikacji platformy Azure).

Jakie jest zalecane podejście do włączania zapory aplikacji internetowej w usłudze Front Door?

Po włączeniu zapory aplikacji internetowej w istniejącej aplikacji często występują fałszywe wykrycia dodatnie, w których reguły zapory aplikacji internetowej wykrywają uzasadniony ruch jako zagrożenie. Aby zminimalizować ryzyko wpływu na użytkowników, zalecamy następujący proces:

  • Włącz zaporę aplikacji internetowej w trybie wykrywania, aby upewnić się, że zapora aplikacji internetowej nie blokuje żądań podczas pracy z tym procesem. Ten krok jest zalecany do celów testowych w zaporze aplikacji internetowej.

    Ważne

    W tym procesie opisano sposób włączania zapory aplikacji internetowej w nowym lub istniejącym rozwiązaniu, gdy priorytetem jest zminimalizowanie zakłóceń dla użytkowników aplikacji. Jeśli atakujesz lub nieuchronne zagrożenie, możesz zamiast tego natychmiast wdrożyć zaporę aplikacji internetowej w trybie zapobiegania i użyć procesu dostrajania, aby monitorować i dostrajać zaporę aplikacji internetowej w czasie. Prawdopodobnie spowoduje to zablokowanie niektórych legalnego ruchu, dlatego zalecamy wykonanie tej czynności tylko wtedy, gdy jesteś zagrożony.

  • Postępuj zgodnie z naszymi wskazówkami dotyczącymi dostrajania zapory aplikacji internetowej. Ten proces wymaga włączenia rejestrowania diagnostycznego, regularnego przeglądania dzienników oraz dodawania wykluczeń reguł i innych środków zaradczych.
  • Powtórz ten cały proces, regularnie sprawdzaj dzienniki, dopóki nie zostanie spełniony żaden uzasadniony ruch. Cały proces może potrwać kilka tygodni. W idealnym przypadku po wprowadzeniu każdej zmiany dostrajania powinna być widoczna mniejsza liczba wykrytych wyników fałszywie dodatnich.
  • Na koniec włącz zaporę aplikacji internetowej w trybie zapobiegania.
  • Nawet po uruchomieniu zapory aplikacji internetowej w środowisku produkcyjnym należy monitorować dzienniki, aby zidentyfikować inne wykrycia fałszywie dodatnie. Regularne przeglądanie dzienników pomoże również zidentyfikować wszelkie próby ataku, które zostały zablokowane.

Czy obsługujesz te same funkcje zapory aplikacji internetowej na wszystkich zintegrowanych platformach?

Obecnie reguły ModSec CRS 3.0, CRS 3.1 i CRS 3.2 są obsługiwane tylko w przypadku zapory aplikacji internetowej w usłudze Application Gateway. Ograniczanie szybkości i reguły domyślnego zestawu reguł zarządzanych przez platformę Azure są obsługiwane tylko w przypadku zapory aplikacji internetowej w usłudze Azure Front Door.

Czy ochrona przed atakami DDoS jest zintegrowana z usługą Front Door?

Globalnie dystrybuowane na brzegach sieci platformy Azure usługa Azure Front Door może absorbować i izolować geograficznie duże ataki. Możesz utworzyć niestandardowe zasady zapory aplikacji internetowej w celu automatycznego blokowania i ograniczania liczby ataków http, które mają znane podpisy. Ponadto można włączyć ochronę sieci DDoS w sieci wirtualnej, w której są wdrażane zaplecza. Klienci usługi Azure DDoS Protection otrzymują dodatkowe korzyści, w tym ochronę kosztów, gwarancję umowy SLA i dostęp do ekspertów z zespołu DDoS Rapid Response Team, aby uzyskać natychmiastową pomoc podczas ataku. Aby uzyskać więcej informacji, zobacz Ochrona przed atakami DDoS w usłudze Front Door.

Dlaczego dodatkowe żądania powyżej progu skonfigurowanego dla mojej reguły limitu szybkości są przekazywane do mojego serwera zaplecza?

Żądania mogą nie być natychmiast blokowane przez limit szybkości, gdy żądania są przetwarzane przez różne serwery usługi Front Door. Aby uzyskać więcej informacji, zobacz Ograniczanie szybkości i serwery usługi Front Door.

Jakie typy zawartości obsługuje zapora aplikacji internetowej?

Zapora aplikacji internetowej usługi Front Door obsługuje następujące typy zawartości:

  • DRS 2.0

    Reguły zarządzane

    • application/json
    • application/xml
    • application/x-www-form-urlencoded
    • multipart/form-data

    Reguły niestandardowe

    • application/x-www-form-urlencoded
  • DRS 1.x

    Reguły zarządzane

    • application/x-www-form-urlencoded
    • text/plain

    Reguły niestandardowe

    • application/x-www-form-urlencoded

Czy mogę zastosować zasady zapory aplikacji internetowej usługi Front Door do hostów frontonu w różnych profilach usługi Front Door Premium (AFDX), które należą do różnych subskrypcji?

Nie, nie można. Profil usługi AFD i zasady zapory aplikacji internetowej muszą znajdować się w tej samej subskrypcji.

Następne kroki