Часто задаваемые вопросы о брандмауэре веб-приложений Azure в Azure Front Door

В этой статье приводятся ответы на распространенные вопросы о функциях и функциях брандмауэра веб-приложений Azure в Azure Front Door.

Что такое брандмауэр веб-приложений Azure?

Брандмауэр веб-приложений Azure — это брандмауэр веб-приложения (WAF), который помогает защитить веб-приложения от распространенных угроз, таких как внедрение SQL, межсайтовые скрипты и другие веб-эксплойты. Вы можете определить политику WAF, состоящую из сочетания пользовательских и управляемых правил для управления доступом к веб-приложениям.

Политику WAF можно применить к веб-приложениям, размещенным в шлюзе приложений Azure или Azure Front Door.

Что такое брандмауэр веб-приложений Azure в Azure Front Door?

Azure Front Door — это сеть доставки содержимого и приложения, масштабируемая и глобально распределенная. Брандмауэр веб-приложений Azure, когда он интегрирован с Azure Front Door, останавливает атаки типа "отказ в обслуживании" и целевые атаки приложений на пограничной сети Azure (близко к источникам атак), прежде чем они входят в виртуальную сеть. Эта комбинация обеспечивает защиту без ущерба для производительности.

Поддерживает ли брандмауэр веб-приложений Azure HTTPS?

Azure Front Door предлагает разгрузку протокола TLS. Брандмауэр веб-приложений Azure изначально интегрирован с Azure Front Door и может проверить запрос после расшифровки.

Поддерживает ли брандмауэр веб-приложений Azure IPv6?

Да. Можно настроить ограничение IP-адресов для IPv4 и IPv6. Дополнительные сведения см. в записи блога по внедрению IPv6 для улучшения брандмауэра веб-приложений Azure в Azure Front Door.

Как актуальны наборы управляемых правил?

Мы делаем все возможное, чтобы адаптироваться к новым угрозам. При обновлении правила мы добавим его в набор правил по умолчанию (DRS) с новым номером версии.

Что такое время распространения при внесении изменений в политику WAF?

Большинство развертываний политик WAF завершаются менее чем за 20 минут. Ожидается, что политика вступит в силу, как только обновление будет завершено во всех пограничных расположениях по всему миру.

Различаются ли политики WAF для разных регионов?

Когда брандмауэр веб-приложений Azure интегрирован с Azure Front Door, WAF — это глобальный ресурс. Одна и та же конфигурация применяется во всех точках Azure Front Door.

Как убедиться, что только Azure Front Door может получить доступ к серверной части в моей сети?

Список управления доступом к IP-адресам можно настроить в серверной части, чтобы разрешить только диапазоны исходящих IP-адресов Azure Front Door с помощью тега службы Azure Front Door и запретить прямой доступ из Интернета. Теги служб поддерживаются для виртуальной сети. Кроме того, можно проверить, является ли поле заголовка X-Forwarded-Host HTTP допустимым для веб-приложения.

Какие параметры WAF следует выбрать?

Существует два варианта применения политик WAF в Azure. Брандмауэр веб-приложений Azure в Azure Front Door является глобально распределенным, пограничным решением безопасности. Брандмауэр веб-приложений Azure в Шлюзе приложений — это региональное выделенное решение. Рекомендуется выбрать решение на основе общих требований к производительности и безопасности. Дополнительные сведения см. в разделе "Параметры балансировки нагрузки".

Что рекомендуется использовать для включения WAF в Azure Front Door?

При включении WAF в существующем приложении обычно обнаруживаются ложные положительные обнаружения, в которых правила WAF определяют допустимый трафик как угрозу. Чтобы снизить риск воздействия на пользователей, рекомендуем использовать следующий процесс:

  1. Включите WAF в режиме обнаружения , чтобы убедиться, что WAF не блокирует запросы во время работы с этим процессом. Мы рекомендуем этот шаг для тестирования в WAF.

    Внимание

    В этом процессе описывается, как включить WAF для нового или существующего решения с минимальным вмешательством в работу пользователей приложения. Если вы находитесь под атакой или под непосредственной угрозой, вам может потребоваться немедленно развернуть WAF в превентивном режиме. Затем можно использовать процесс настройки для мониторинга и настройки WAF с течением времени. Этот подход, вероятно, приведет к блокировке некоторого из законного трафика, поэтому мы рекомендуем использовать его только в том случае, если вы находитесь под угрозой.

  2. Следуйте инструкциям по настройке WAF. Для этого процесса необходимо включить ведение журналов диагностики, регулярно просматривать такие журналы, чтобы добавлять исключения правил и принимать другие меры.

  3. Повторяйте весь этот процесс и регулярно проверяйте журналы, пока вы не удовлетворены тем, что законный трафик не блокируется. Весь процесс может занять несколько недель. В идеале после каждого изменения настройки вы увидите меньше ложных срабатываний.

  4. Наконец, включите WAF в режиме предотвращения.

Даже после запуска WAF в рабочей среде следует следить за журналами, чтобы определить другие ложные положительные обнаружения. Регулярно просматривая журналы, вы также можете определить любые реальные попытки атаки, которые были заблокированы.

Поддерживаете ли вы одни и те же функции WAF на всех интегрированных платформах?

В настоящее время правила основного набора правил (CRS) 3.0, CRS 3.1 и CRS 3.2 поддерживаются только брандмауэром веб-приложений Azure в шлюзе приложений. Ограничение скорости и правила DRS, управляемые Azure, поддерживаются только брандмауэром веб-приложений Azure в Azure Front Door.

Интегрирована ли защита от атак DDoS с Azure Front Door?

Azure Front Door глобально распространяется в пограничных сетях Azure. Он может поглощать и географически изолировать крупномасштабные атаки. Вы можете создать настраиваемую политику WAF для автоматического блокировки и ограничения скорости атак HTTP и HTTPS, имеющих известные сигнатуры. Вы также можете включить защиту сети от распределенных атак типа "отказ в обслуживании" (DDoS) в виртуальной сети, где развернуты ваши backend-сервера.

Клиенты службы защиты от атак DDoS Azure получают дополнительные преимущества, включая защиту затрат, гарантию соглашения об уровне обслуживания (SLA) и доступ к экспертам группы быстрого реагирования DDoS для немедленной помощи во время атаки. Дополнительные сведения см. в статье "Защита от атак DDoS" в Azure Front Door.

Почему дополнительные запросы выше порогового значения, настроенного для правила ограничения скорости, передаются на сервер серверной части?

Вы можете не видеть запросы, которые немедленно блокируются ограничением скорости, если разные серверы Azure Front Door обрабатывают запросы. Дополнительные сведения см. в разделе "Ограничения скорости" и серверы Azure Front Door.

Какие типы контента поддерживают WAF?

WAF Azure Front Door поддерживает следующие типы контента:

  • DRS 2.0

    Управляемые правила:

    • application/json
    • application/xml
    • application/x-www-form-urlencoded
    • multipart/form-data

    Пользовательские правила:

    • application/x-www-form-urlencoded

  • DRS 1.x

    Управляемые правила:

    • application/x-www-form-urlencoded
    • text/plain

    Пользовательские правила:

    • application/x-www-form-urlencoded

Замечание

WAF Azure Front Door не поддерживает кодировку содержимого. Это означает, что сжатые тела не будут декомпрессированы перед отправкой в движок WAF.

Можно ли применить политику WAF Azure Front Door к фронтенд узлам в профилях Azure Front Door Premium, принадлежащих разным подпискам?

Нет, нельзя. Профиль Azure Front Door и политика WAF должны находиться в одной подписке.

Связанный контент