Vanliga frågor och svar om Azure Web Application Firewall i Azure Front Door Service

Azure WAF är en brandvägg för webbprogram som skyddar dina webbprogram från vanliga hot som SQL-inmatning, skriptkörning mellan webbplatser och andra webbexploateringar. Du kan definiera en WAF-princip som består av en kombination av anpassade och hanterade regler för att styra åtkomsten till dina webbprogram.

En Azure WAF-princip kan tillämpas på webbprogram som finns på Application Gateway eller Azure Front Doors.

Azure Front Door är ett mycket skalbart, globalt distribuerat program- och innehållsleveransnätverk. Azure WAF, när det är integrerat med Front Door, stoppar denial-of-service och riktade programattacker vid Azure-nätverksgränsen, nära attackkällor innan de kommer in i ditt virtuella nätverk, ger skydd utan att offra prestanda.

Front Door erbjuder TLS-avlastning. WAF är inbyggt integrerat med Front Door och kan inspektera en begäran när den har dekrypterats.

Ja. Du kan konfigurera IP-begränsning för IPv4 och IPv6. Mer information finns i IPv6 Adoption: Enhancing Azure WAF on Front Door (IPv6 Adoption: Enhancing Azure WAF on Front Door).

Vi gör vårt bästa för att hänga med i det föränderliga hotlandskapet. När en ny regel har uppdaterats läggs den till i standardregeluppsättningen med ett nytt versionsnummer.

De flesta WAF-principdistributioner slutförs under 20 minuter. Du kan förvänta dig att principen börjar gälla så snart uppdateringen har slutförts på alla gränsplatser globalt.

När waf är integrerat med Front Door är det en global resurs. Samma konfiguration gäller för alla Front Door-platser.

Du kan konfigurera IP-åtkomstkontrollistan i serverdelen för att endast tillåta utgående IP-adressintervall för Front Door med hjälp av Azure Front Door-tjänsttaggen och neka direkt åtkomst från Internet. Tjänsttaggar stöds för att du ska kunna använda i ditt virtuella nätverk. Dessutom kan du kontrollera att HTTP-huvudfältet X-Forwarded-Host är giltigt för webbprogrammet.

Det finns två alternativ när du tillämpar WAF-principer i Azure. WAF med Azure Front Door är en globalt distribuerad gränssäkerhetslösning. WAF med Application Gateway är en regional, dedikerad lösning. Vi rekommenderar att du väljer en lösning baserat på dina övergripande prestanda- och säkerhetskrav. Mer information finns i Belastningsutjämning med Azures programleveranssvit.

När du aktiverar WAF i ett befintligt program är det vanligt att ha falska positiva identifieringar där WAF-reglerna identifierar legitim trafik som ett hot. För att minimera risken för påverkan på användarna rekommenderar vi följande process:

• Aktivera WAF i identifieringsläge för att säkerställa att WAF inte blockerar begäranden när du arbetar med den här processen. Det här steget rekommenderas i testsyfte på WAF.

  Viktigt!

  Den här processen beskriver hur du aktiverar WAF på en ny eller befintlig lösning när din prioritet är att minimera störningen för programmets användare. Om du är utsatt för angrepp eller överhängande hot kanske du i stället vill distribuera WAF i förebyggande läge omedelbart och använda justeringsprocessen för att övervaka och justera WAF över tid. Detta kommer förmodligen att göra att en del av din legitima trafik blockeras, vilket är anledningen till att vi bara rekommenderar att du gör detta när du är hotad.

• Följ vår vägledning för att justera WAF. Den här processen kräver att du aktiverar diagnostikloggning, granskar loggarna regelbundet och lägger till regelundantag och andra åtgärder.
• Upprepa hela processen och kontrollera loggarna regelbundet tills du är övertygad om att ingen legitim trafik blockeras. Hela processen kan ta flera veckor. Helst bör du se färre falska positiva identifieringar efter varje justeringsändring du gör.
• Aktivera slutligen WAF i förebyggande läge.
• Även när du kör WAF i produktion bör du fortsätta att övervaka loggarna för att identifiera andra falska positiva identifieringar. Genom att regelbundet granska loggarna kan du också identifiera eventuella verkliga attackförsök som har blockerats.

För närvarande stöds endast ModSec CRS 3.0-, CRS 3.1- och CRS 3.2-regler med WAF på Application Gateway. Hastighetsbegränsning och Azure-hanterade standardregeluppsättningsregler stöds endast med WAF på Azure Front Door.

Azure Front Door är globalt distribuerat vid Azure-nätverkskanter och kan absorbera och geografiskt isolera stora volymattacker. Du kan skapa en anpassad WAF-princip för att automatiskt blockera och hastighetsgränsa http-attacker som har kända signaturer. Dessutom kan du aktivera DDoS Network Protection på det virtuella nätverk där dina serverdelar distribueras. Azure DDoS Protection-kunder får ytterligare fördelar, inklusive kostnadsskydd, SLA-garanti och åtkomst till experter från DDoS Rapid Response Team för omedelbar hjälp under en attack. Mer information finns i DDoS-skydd på Front Door.

Du kanske inte ser begäranden som omedelbart blockeras av hastighetsgränsen när begäranden bearbetas av olika Front Door-servrar. Mer information finns i Hastighetsbegränsning och Front Door-servrar.

Front Door WAF stöder följande innehållstyper:

• DRS 2.0

  Hanterade regler

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • flerdelade/formulär-data

  Anpassade regler

  • application/x-www-form-urlencoded

• DRS 1.x

  Hanterade regler

  • application/x-www-form-urlencoded
  • text/plain

  Anpassade regler

  • application/x-www-form-urlencoded

Nej, det kan du inte. AFD-profilen och WAF-principen måste finnas i samma prenumeration.

Nästa steg

• Läs mer om Azure Web Application Firewall.
• Läs mer om Azure Front Door.