共用方式為


Azure Front Door 上的 Azure Web 應用程式防火牆

Azure Front Door 上的 Azure Web 應用程式防火牆可為 Web 應用程式提供集中式保護。 Web 應用程式防火牆 (WAF) 會協助 Web 服務對抗常見的攻擊和弱點。 讓您的服務對使用者高度可用,並協助您符合合規性需求。

Azure Front Door 上的 Azure Web 應用程式防火牆是一個全域性的集中式解決方案。 其部署於全球各地的 Azure 網路邊緣位置。 已啟用 WAF 的 Web 應用程式會檢查網路邊緣的 Azure Front Door 所提供的每個傳入要求。

WAF 可防止惡意攻擊接近攻擊來源,不讓其進入虛擬網路。 您可以大規模獲得全域保護,而不會犧牲效能。 WAF 原則可輕鬆地連結至訂用帳戶中的任何 Azure Front Door 設定檔。 您可以在幾分鐘內部署新的規則,以便快速回應不斷變化的威脅模式。

顯示 Azure Web 應用程式防火牆 的螢幕快照。

注意

針對 Web 工作負載,強烈建議使用 Azure DDoS 保護Web 應用程式防火牆來防範新興的 DDoS 攻擊。 另一個選項是運用 Azure Front Door 和 Web 應用程式防火牆。 Azure Front Door 提供平台層級保護來防範網路層級 DDoS 攻擊。 如需詳細資訊,請參閱 Azure 服務的安全性基準

Azure Front Door 有兩個階層

  • 標準
  • Premium

Azure Web 應用程式防火牆可與 Azure Front Door 進階原生整合,具有完整功能。 Azure Front Door 標準僅支援自訂規則

保護

Azure Web 應用程式防火牆可以:

  • 不需修改後端程式碼就能保護 Web 應用程式不受 Web 弱點和攻擊的威脅。
  • 使用 IP 信譽規則集防止 Web 應用程式遭受惡意 Bot 的威脅。
  • 保護應用程式防範 DDoS 攻擊。 如需詳細資訊,請參閱應用程式 DDoS 保護

WAF 原則和規則

您可以設定 WAF 原則,並將該原則與一或多個 Azure Front Door 網域建立關聯,以進行保護。 WAF 原則包含兩種類型的安全性規則:

  • 客戶建立的自訂規則。
  • 受控規則集,一組由 Azure 管理且預先設定的規則集合。

當兩者都存在時,在處理受控規則集中的規則之前,會先處理自訂規則。 規則是由比對條件、優先順序和動作所組成。 支援的動作類型為:允許、封鎖、記錄和重新導向。 您可以結合受控和自訂規則,建立完全自訂的原則,以符合特定應用程式保護需求。

原則內的規則會依優先順序進行處理。 優先順序是一個唯一的整數,定義要處理的規則順序。 較小的整數值表示較高的優先順序,並且這些規則會在整數值較高的規則之前進行評估。 符合規則之後,規則中所定義的對應動作就會套用至要求。 完成此比對處理之後,優先順序較低的規則就不會再進行處理。

Azure Front Door 所提供的 Web 應用程式一次只能有一個相關聯的 WAF 原則。 不過,您也可以在不與任何 WAF 原則建立關聯的情況下,擁有 Azure Front Door 設定。 如果 WAF 原則存在,則會複寫到我們的所有邊緣位置,以確保世界各地的安全性原則一致。

WAF 模式

您可以設定 WAF 原則,以下列兩種模式執行:

  • 偵測:當 WAF 以偵測模式執行時,只會監視並記錄要求及其相符 WAF 規則至 WAF 記錄。 不會採取任何其他動作。 您可以為 Azure Front Door 開啟記錄診斷。 當您使用入口網站時,請移至 [診斷] 區段。
  • 預防:在預防模式中,如果要求符合規則,WAF 便會採取指定動作。 如果找到相符項目,則不會進一步評估優先順序較低的規則。 任何相符的要求也會記錄在 WAF 記錄中。

WAF 動作

當要求符合規則的條件時,WAF 客戶可以選擇執行其中一個動作:

  • 允許:要求可通過 WAF,並轉送至來源。 沒有更低的優先順序規則可以封鎖此要求。
  • 封鎖:要求會遭到封鎖,而 WAF 會將回應傳送至用戶端,但不會將要求轉送至來源。
  • Log:要求會記錄在 WAF 記錄中,而 WAF 會繼續評估優先順序較低的規則。
  • 重新導向:WAF 會將要求重新導向至指定的 URI。 指定 URI 是原則層級的設定。 設定之後,所有符合重新導向動作的要求都會傳送至該 URI。
  • 異常分數:符合具有此動作的規則時,總異常分數會遞增。 此預設動作適用於預設規則集 2.0 或更新版本。 不適用於 Bot 管理員規則集。

WAF 規則

WAF 原則可以包含兩種安全性規則:

  • 由客戶和受控規則集所撰寫的自訂規則
  • 由 Azure 管理且預先設定好的一組規則

自訂撰寫的規則

若要設定 WAF 的自訂規則,請使用下列控制項:

  • IP 允許清單和封鎖清單:您可以根據用戶端 IP 位址清單或 IP 位址範圍,來控制 Web 應用程式的存取權。 支援 IPv4 和 IPv6 位址類型。 此清單可設定為封鎖或允許其來源 IP 符合清單中 IP 的要求。
  • 地理型存取控制:您可以根據與用戶端 IP 位置相關聯的國家/地區代碼,來控制 Web 應用程式的存取權。
  • HTTP 參數型存取控制:您可以讓規則以 HTTP/HTTPS 要求參數中的字串相符項目作為基礎。 範例包括查詢字串、POST 引數、要求 URI、要求標頭和要求本文。
  • 要求方法型存取控制:您讓規則以要求的 HTTP 要求方法作為基礎。 範例包括 GET、PUT 或 HEAD。
  • 大小限制:您可以讓規則以要求的特定部分 (例如查詢字串、URI 或要求本文) 長度作為基礎。
  • 速率限制規則:速率限制規則會限制來自任何用戶端 IP 位址的異常高流量。 您可以設定用戶端 IP 在一分鐘內允許的 Web 要求數目閾值。 此規則與 IP 清單型的允許/封鎖自訂規則不同,該規則可允許或封鎖所有來自用戶端 IP 的要求。 速率限制可以與其他比對條件結合,例如用於進行細微速率控制的 HTTP(S) 參數比對。

Azure 受控規則集

Azure 管理的規則集可讓您以簡單的方式部署防護,以抵禦一組常見的安全性威脅。 因為 Azure 會管理這些規則集,所以會視需要更新規則,以防止新的攻擊簽章。 Azure 受控預設規則集包含可防範下列威脅類別的規則:

  • 跨網站指令碼處理
  • Java 攻擊
  • 本機檔案包含
  • PHP 插入式攻擊
  • 遠端命令執行
  • 遠端檔案包含
  • 工作階段 Fixation
  • SQL 插入式攻擊保護
  • 通訊協定攻擊

在評估預設規則集中的規則之前,一律會套用自訂規則。 如果要求符合自訂規則,則會套用對應的規則動作。 要求會遭到封鎖,或是傳遞至後端。 系統不會處理任何其他的自訂規則或預設規則集內的規則。 您也可以從 WAF 原則中移除預設規則集。

如需詳細資訊,請參閱 Web 應用程式防火牆預設規則集規則群組與規則

Bot 保護規則集

您可以啟用受控 Bot 保護規則集,對來自所有 Bot 類別的要求採取自訂動作。

支援三個 Bot 類別: BadGoodUnknown。 Bot 簽章是由 WAF 平臺管理及動態更新。

  • 錯誤:錯誤的 Bot 是具有惡意 IP 位址的 Bot,以及偽造其身分識別的 Bot。 不正確的 Bot 包含來自Microsoft威脅情報摘要的高信賴 IP 指標和 IP 信譽摘要的惡意 IP 位址。 不正確的 Bot 也包含將自己識別為良好 Bot 的 Bot,但其 IP 位址不屬於合法的 Bot 發行者。
  • 良好:良好的 Bot 是受信任的使用者代理程式。 良好的 Bot 規則會分類為多個類別,以提供對 WAF 原則設定的細微控制。 這些類別包括已驗證的搜尋引擎 Bot(例如 Googlebot 和 Bingbot)、已驗證的連結檢查程式 Bot、已驗證的社交媒體 Bot(例如 Facebookbot 和 LinkedInBot)、已驗證的廣告 Bot、已驗證的內容檢查程式 Bot,以及已驗證的其他 Bot。
  • 未知:未知的 Bot 是使用者代理程式,不需要額外的驗證。 未知 Bot 也包含來自 Microsoft 威脅情報摘要中信賴度 IP 指標的惡意 IP 位址。

WAF 平台會管理及動態更新 Bot 簽章。 您可以設定自訂動作來封鎖、允許、記錄或重新導向不同類型的 Bot。

顯示 Bot 保護規則集的螢幕快照。

如果已啟用 Bot 保護,則會根據設定的動作封鎖、允許或記錄符合 Bot 規則的連入要求。 不正確的 Bot 會遭到封鎖、允許良好的 Bot,且預設會記錄未知的 Bot。 您可以為不同類型的 Bot 設定自訂動作來封鎖、允許、記錄或 JS 挑戰。 您可以從儲存體帳戶、事件中樞、記錄分析來存取 WAF 記錄,或將記錄傳送至合作夥伴解決方案。

Azure Front Door Premium 版本提供 Bot Manager 1.1 規則集。

如需詳細資訊,請參閱 Azure WAF 的 Bot Manager 1.1 和 JavaScript 挑戰:流覽 Bot 威脅地形

組態

您可以使用 Azure 入口網站、REST API、Azure Resource Manager 範本和 Azure PowerShell 來設定和部署所有 WAF 原則。 您也可以使用防火牆管理員整合大規模設定和管理 Azure WAF 原則。 如需詳細資訊,請參閱使用 Azure 防火牆管理員來管理 Azure Web 應用程式防火牆原則

監視

Azure Front Door 上的 WAF 監視會與 Azure 監視器整合,以追蹤警示並輕鬆監視流量趨勢。 如需詳細資訊,請參閱 Azure Web 應用程式防火牆監視和記錄

下一步