Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены рекомендации по использованию Брандмауэра веб-приложений Azure в Azure Front Door.
Общие рекомендации
В этом разделе обсуждаются общие рекомендации.
Включение WAF
Для приложений, работающих в Интернете, рекомендуется включить брандмауэр веб-приложения (WAF) и настроить его на использование управляемых правил. При использовании WAF и правил, управляемых корпорацией Майкрософт, приложение защищено от различных атак.
Настройте свой WAF
Правила в WAF должны быть настроены в соответствии с рабочей нагрузкой. Если вы не настроите WAF, он может случайно заблокировать запросы, которые должны быть разрешены. Настройка может включать создание исключений для правил для уменьшения количества ложных срабатываний.
Во время настройки WAF рассмотрите возможность использования режима обнаружения. Этот режим регистрирует запросы и действия, которые обычно выполняет WAF, но на самом деле он не блокирует трафик.
Дополнительные сведения см. в статье Настройка Брандмауэра веб-приложения Azure для Azure Front Door.
Использование режима предотвращения
После настройки WAF настройте его для работы в режиме предотвращения. Работая в режиме предотвращения, вы гарантируете, что WAF блокирует запросы, которые он обнаруживает как вредоносные. Работа WAF в режиме обнаружения полезна при настройке и конфигурации, но она не обеспечивает защиты.
Определение конфигурации WAF в виде кода
При настройке WAF для рабочей нагрузки приложения обычно создается набор исключений правил, чтобы уменьшить количество ложных срабатываний. Если эти исключения настраиваются вручную с помощью портала Azure, то при обновлении WAF для использования более новой версии набора правил необходимо повторно настроить те же исключения для новой версии набора правил. Этот процесс может занять много времени и подвержен ошибкам.
Вместо этого рассмотрите возможность определения исключений правил WAF и другой конфигурации в виде кода, например с помощью Azure CLI, Azure PowerShell, Bicep или Terraform. Если вам нужно обновить версию набора правил WAF, вы можете легко повторно использовать те же исключения.
Лучшие практики для управляемых наборов правил
В этом разделе обсуждаются рекомендации по работе с наборами правил.
Включение наборов правил по умолчанию
Наборы правил по умолчанию корпорации Майкрософт предназначены для защиты вашего приложения путем обнаружения и блокировки распространенных атак. Правила основаны на различных источниках, включая топ-10 типов атак OWASP и информацию от Microsoft Threat Intelligence.
Дополнительные сведения см. в статье Наборы правил, управляемые Azure.
Включение правил управления ботами
Боты отвечают за значительную долю трафика в веб-приложения. Набор правил защиты от ботов WAF классифицирует ботов в зависимости от того, являются ли они хорошими, плохими или неизвестными. Плохие боты могут быть заблокированы, в то время как хорошие боты, такие как поисковые роботы, могут быть допущены к вашему приложению.
Дополнительные сведения см. в разделе Набор правил защиты от ботов.
Используйте последние версии набора правил
Корпорация Майкрософт регулярно обновляет управляемые правила с учетом текущей ситуации с угрозами. Убедитесь, что вы регулярно проверяете наличие обновлений в наборах правил, управляемых Azure.
Дополнительные сведения см. в статье Группы правил и правила DRS Брандмауэра веб-приложения Azure.
Рекомендации по ограничению скорости
В этом разделе обсуждаются рекомендации по ограничению скорости.
Добавление ограничения скорости
Azure Front Door WAF позволяет управлять количеством разрешенных запросов с IP-адреса каждого клиента в течение определенного периода времени. Рекомендуется добавить ограничение скорости, чтобы уменьшить влияние случайной или преднамеренной отправки клиентами большого объема трафика в вашу службу, например, во время шторма повторных попыток.
Дополнительные сведения см. в следующих ресурсах:
- Что такое ограничение скорости для Azure Front Door?
- Настройте правило ограничения скорости Брандмауэра веб-приложения Azure с помощью Azure PowerShell.
- Почему дополнительные запросы, превышающие пороговое значение, настроенное для моего правила ограничения скорости, передаются на мой внутренний сервер?
Используйте высокий порог для ограничения скорости
Обычно рекомендуется установить высокий порог ограничения скорости. Например, если известно, что один IP-адрес клиента может отправлять около 10 запросов на ваш сервер каждую минуту, рассмотрите возможность указания порогового значения в 20 запросов в минуту.
Высокие пороговые значения ограничения скорости позволяют избежать блокировки легитимного трафика. Эти пороговые значения по-прежнему обеспечивают защиту от очень большого количества запросов, которые могут перегрузить инфраструктуру.
Рекомендации по геофильтрации
В этом разделе обсуждаются рекомендации по геофильтрации.
Геофильтрация трафика
Многие веб-приложения предназначены для пользователей в пределах определенного географического региона. Если эта ситуация относится к вашему приложению, рассмотрите возможность реализации геофильтрации для блокировки запросов, поступающих из-за пределов стран или регионов, из которых вы ожидаете получать трафик.
Дополнительные сведения см. в статье "Что такое геофильтрация в домене для Azure Front Door?
Укажите неизвестное местоположение (ZZ)
Некоторые IP-адреса не сопоставлены с местоположениями в нашем наборе данных. Если IP-адрес не может быть сопоставлен с местоположением, WAF назначает трафик неизвестной стране или региону (ZZ). Чтобы избежать блокировки действительных запросов с этих IP-адресов, рассмотрите возможность пропускания неизвестной страны или региона через геофильтр.
Дополнительные сведения см. в статье "Что такое геофильтрация в домене для Azure Front Door?
Лесозаготовка
В этом разделе обсуждается логирование.
Добавьте параметры диагностики для сохранения журналов вашего WAF
Azure Front Door WAF интегрируется с Azure Monitor. Важно сохранять журналы WAF в место назначения, например, в Log Analytics. Журналы WAF следует регулярно просматривать. Просмотр журналов помогает настроить политики WAF, чтобы уменьшить количество ложных срабатываний и понять, подвергалось ли приложение атакам.
Дополнительные сведения см. в разделе "Мониторинг и ведение журнала в Брандмауэре веб-приложения Azure".
Отправка журналов в Microsoft Sentinel
Microsoft Sentinel — это система управления информацией и событиями безопасности (SIEM), которая импортирует журналы и данные из нескольких источников, чтобы понять ландшафт угроз для веб-приложения и всей среды Azure. Журналы Azure Front Door WAF следует импортировать в Microsoft Sentinel или другую систему SIEM, чтобы ваши свойства, подключенные к Интернету, были включены в ее анализ. Для Microsoft Sentinel используйте соединитель Azure WAF, чтобы легко импортировать журналы WAF.
Дополнительные сведения см. в статье Использование Microsoft Sentinel с Брандмауэром веб-приложений Azure.
Дальнейшие шаги
Узнайте, как создать политику WAF Azure Front Door.