Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Брандмауэр веб-приложений (WAF) на Шлюз приложений Azure активно защищает веб-приложения от распространенных эксплойтов и уязвимостей. Поскольку веб-приложения становятся более частыми целями для вредоносных атак, эти атаки часто используют известные уязвимости, такие как внедрение SQL и межсайтовые скрипты.
Брандмауэр веб-приложения в Шлюзе приложений основан на основном наборе правил (CRS) из Open Web Application Security Project (OWASP).
Все перечисленные ниже функции WAF существуют в политике WAF. Вы можете создать несколько политик и связать их с шлюзом приложений, с отдельными прослушивателями или правилами маршрутизации на основе путей в шлюзе приложений, что позволяет определить отдельные политики для каждого сайта за шлюзом приложений при необходимости. Дополнительные сведения о политиках WAF см. в статье "Создание политик брандмауэра веб-приложений" для шлюза приложений.
Примечание.
Шлюз приложений имеет две версии SKU WAF: шлюз приложений WAF_v1 и шлюз приложений WAF_v2. Сопоставления политик WAF поддерживаются только для SKU шлюза приложений WAF_v2.
Шлюз приложений функционирует как контроллер доставки приложений. Он предоставляет функцию завершения обработки запросов TLS (ранее известного как SSL), привязки сеансов на основе файлов cookie, циклического распределения нагрузки, маршрутизации на основе содержимого, поддержку размещения нескольких веб-сайтов и улучшения безопасности.
Шлюз приложений повышает безопасность с помощью управления политиками TLS и сквозной поддержки TLS. Интеграция WAF в Шлюз приложений упрощает безопасность приложений. Эта комбинация активно защищает веб-приложения от распространенных уязвимостей и предлагает централизованно управляемое, простое расположение.
Льготы
В этом разделе описываются основные преимущества, которые предоставляет WAF в Шлюзе приложений.
Защита
Защита веб-приложений от сетевых уязвимостей и атак без изменений кода серверной части.
Одновременная защита нескольких веб-приложений. Один экземпляр Шлюза приложений может содержать до 40 веб-сайтов, защищенных брандмауэром веб-приложения.
Создайте настраиваемые политики WAF для разных сайтов за одним WAF.
Защита веб-приложений от вредоносных ботов с помощью набора правил репутации IP-адресов.
Защита приложения от атак DDoS. Дополнительные сведения см. в разделе "Защита от атак DDoS приложения".
Наблюдение
Отслеживайте атаки на веб-приложения с помощью журнала WAF в реальном времени. Этот журнал интегрирован с Azure Monitor, что позволяет отслеживать оповещения WAF и тенденции.
Шлюз приложений WAF интегрирован с Microsoft Defender для облака. Defender для облака предоставляет централизованное представление о состоянии безопасности всех гибридных и многооблачных ресурсов Azure.
Пользовательская настройка
Настройте правила и группы правил WAF в соответствии с требованиями приложения, чтобы уменьшить число ложноположительных результатов.
Свяжите политику WAF с каждым сайтом, защищенным WAF, чтобы использовать индивидуальные конфигурации для сайтов.
Создайте настраиваемые правила в соответствии с потребностями приложения.
Компоненты
- Защита от SQL-инъекции.
- Защита от межсайтового скриптинга.
- Защита от других распространенных веб-атак, таких как внедрение команд, контрабанда HTTP-запросов, разделение ответа HTTP и включение удаленных файлов.
- Защита от нарушений протокола HTTP.
- Защита от аномалий протокола HTTP, таких как отсутствие заголовков host, user-agent и accept.
- Защита от программ-обходчиков и сканеров.
- Обнаружение распространенных неправильно настроенных приложений (например, Apache и IIS).
- Настраиваемые ограничения размера запроса с нижней и верхней границами.
- Списки исключений позволяют исключать некоторые атрибуты запроса из проверки WAF. Распространенный пример — добавленные токены Active Directory, которые используются для проверки подлинности или полей пароля.
- Создайте настраиваемые правила в соответствии с конкретными потребностями приложения.
- Примените географическую фильтрацию трафика, чтобы разрешать или запрещать доступ к приложениям из определенных стран или регионов.
- Защитите веб-приложения от ботов с помощью набора правил для предотвращения использования ботов.
- Проверка JSON и XML в тексте запроса.
Политика и правила WAF
Чтобы включить Брандмауэр веб-приложений в Шлюзе приложений, необходимо создать политику WAF. Эта политика определяет все управляемые и пользовательские правила, а также исключения и другие настройки, например ограничения на передачу файлов.
Вы можете настроить политику WAF и связать ее с одним или несколькими шлюзами приложений для защиты. Политика WAF состоит из правил безопасности двух типов:
настраиваемые правила, которые вы создаете;
Управляемые наборы правил, которые являются коллекцией предварительно настроенных наборов правил, управляемых Azure
Если присутствуют оба типа правил, то настраиваемые правила обрабатываются раньше, чем правила из управляемого набора правил. Каждое правило определяет условие соответствия, приоритет и действие. Поддерживаются типы действий: ALLOW, BLOCK и LOG. Вы можете создать полностью настраиваемую политику в соответствии с индивидуальными требованиями к защите приложения, комбинируя управляемые и пользовательские правила.
Правила в рамках политики обрабатываются в приоритетном порядке. Приоритет — это уникальное целое число, определяющее порядок обработки правил. Меньшее целое значение обозначает более высокий приоритет, и такие правила оцениваются раньше правил с более высоким значением. Когда обнаруживается подходящее правило, к запросу применяется действие, определенное в этом правиле. После обработки обнаруженного соответствия правила с более низким приоритетом не обрабатываются.
Веб-приложение, доставленное Шлюзом приложений, может иметь политику WAF, связанную с ним на глобальном уровне, на уровне отдельных сайтов или на уровне URI.
Основные наборы правил
Шлюз приложений поддерживает несколько наборов правил, включая CRS 3.2, CRS 3.1 и CRS 3.0. Эти правила защищают веб-приложения от вредоносных действий. Для получения дополнительной информации см. раздел "Группы правил и правила DRS и CRS брандмауэра веб-приложений".
Настраиваемые правила
Кроме того, Шлюз приложений поддерживает пользовательские правила. С помощью пользовательских правил вы можете создать собственные правила, которые оцениваются для каждого запроса, проходящего через WAF. Эти правила имеют более высокий приоритет, чем любые правила из управляемых наборов правил. Если выполняется указанный набор условий, применяется соответствующее действие (разрешение или блокировка). Дополнительные сведения о пользовательских правилах см. в разделе "Пользовательские правила" для шлюза приложений.
Оператор геосоответствия теперь доступен для настраиваемых правил. Дополнительные сведения см. в разделе "Пользовательские правила Geomatch ".
Набор правил защиты от ботов
Вы можете включить набор правил для защиты от ботов, чтобы выполнять настраиваемые действия по запросам из всех категорий ботов.
Поддерживаются три категории ботов:
Плохо
Плохие боты — это боты с вредоносными IP-адресами и ботами, которые фальсифицировали свои удостоверения. Плохие боты включают вредоносные IP-адреса, полученные из канала Microsoft Threat Intelligence, который содержит высокодостоверные IP-индикаторы компрометации и данные о репутации IP-адресов. Плохие боты также включают ботов, которые определяют себя как хорошие боты, но их IP-адреса не принадлежат законным издателям ботов.
Хороший
Хорошие боты являются доверенными агентами пользователей. Хорошие правила бота классифицируются по нескольким категориям, чтобы обеспечить детальный контроль над конфигурацией политики WAF. К этим категориям относятся:
- проверенные поисковые боты (например, Googlebot и Bingbot)
- проверенные боты проверки ссылок
- проверенные боты социальных сетей (например, Facebookbot и LinkedInBot)
- проверенные рекламные боты
- проверенные боты проверки содержимого
- проверенные другие боты
Unknown
Неизвестные боты — это агенты пользователей без дополнительной проверки. Неизвестные боты также включают вредоносные IP-адреса, полученные из веб-канала Microsoft Threat Intelligence со средней степенью доверия к IP-индикаторам компрометации.
Платформа WAF активно управляет и динамически обновляет подписи бота.
Если защита бота включена, она блокирует, разрешает или регистрирует входящие запросы, соответствующие правилам бота на основе настроенного действия. Он блокирует вредоносные боты, позволяет проверенным обходчикам поисковых систем, блокирует неизвестных обходчиков поисковых систем и по умолчанию ведет журналы неизвестных ботов. Пользовательские действия можно задать для блокировки, разрешения или регистрации различных типов ботов.
Вы можете получить доступ к журналам WAF из учетной записи хранения, концентратора событий, log analytics или отправить журналы в партнерское решение.
Дополнительные сведения о защите ботов в шлюзе приложений см. в разделе «Брандмауэр веб-приложений на шлюзе приложений».
Режимы WAF
WAF Шлюза приложений можно настроить для работы в следующих двух режимах.
- Режим обнаружения: отслеживает и регистрирует все оповещения об угрозах. Ведение журнала диагностики для Шлюза приложений можно включить в разделе Диагностика. Также необходимо убедиться, что журнал WAF выбран и включён. Брандмауэр веб-приложения не блокирует входящие запросы, когда он работает в режиме обнаружения.
- Режим предотвращения: блокирует вторжение и атаки, обнаруженные правилами. Злоумышленник получает сообщение "403 unauthorized access" (несанкционированный доступ) и такое подключение прерывается. В режиме предотвращения подобные атаки также заносятся в журналы WAF.
Примечание.
Рекомендуется запустить только что развернутый WAF в режиме обнаружения в течение короткого периода времени в рабочей среде. Это позволяет получать журналы брандмауэра и обновлять все исключения или пользовательские правила перед переходом в режим предотвращения. Это также помогает уменьшить количество случаев неожиданных заблокированного трафика.
Движок WAF
Подсистема брандмауэра веб-приложений (WAF) — это компонент, который проверяет трафик и обнаруживает, содержит ли запрос подпись, указывающую на потенциальную атаку. При использовании CRS 3.2 или более поздней версии брандмауэр веб-приложения запускает новый модуль WAF, который обеспечивает более высокую производительность и улучшенный набор функций. Если же используются более ранние версии CRS, WAF работает на более старой подсистеме. Новые функции доступны только в новом ядре Azure WAF.
Действия WAF
Вы можете выбрать, какое действие выполняется, когда запрос соответствует условию правила. Поддерживаются следующие действия:
- Разрешить: запрос проходит через WAF и пересылается в серверную часть. Никакие правила с более низким приоритетом не могут блокировать такой запрос. Разрешающие действия применимы только к набору правил Bot Manager и не применимы к основному набору правил.
- Блокировать: запрос блокируется, а WAF отправляет клиенту ответ, не перенаправляя запрос в серверную часть.
- Журнал: Запрос регистрируется в журналах WAF, а WAF продолжает оценивать правила с более низким приоритетом.
- Оценка аномалий: действие по умолчанию для набора правил CRS, где общая оценка аномалий увеличивается при сопоставлении правила с этим действием. Оценка аномалий не применима к набору правил Bot Manager.
Режим оценки аномалий
OWASP имеет два режима для определения того, следует ли блокировать трафик: традиционный режим и режим оценки аномалий.
В традиционном режиме трафик, который соответствует любому правилу, оценивается независимо от других совпадений с правилами. Это очень простой для понимания режим. Но его полезность ограничивается отсутствием сведений о том, скольким правилам соответствует каждый запрос. Для устранения этой проблемы добавлен режим оценки аномалий. Он используется по умолчанию в OWASP 3.x.
В режиме оценки аномалий трафик, соответствующий любому правилу, не блокируется сразу, если брандмауэр работает в режиме предотвращения. Правила имеют определенную серьезность: критические, ошибки, предупреждения или уведомления. Это значение серьезности влияет на числовое значение "Оценка аномалии", которое присваивается каждому запросу. Например, при каждом совпадении с правилом уровня Предупреждение эта оценка повышается на 3. А при совпадении с правилом уровня Критический добавляется значение 5.
| Степень серьёзности | Значение |
|---|---|
| Критически важно | 5 |
| Ошибка | 4 |
| Предупреждение | 3 |
| Примечание. | 2 |
Чтобы оценка аномалии привела к блокировке трафика, она должна достигнуть порогового значения 5. Таким образом, для WAF шлюза приложений достаточно совпадения одного критического правила, чтобы заблокировать запрос в режиме защиты (Prevention Mode). Но одно правило Предупреждение увеличивает показатель аномалии лишь на 3, что недостаточно, чтобы заблокировать трафик.
Примечание.
Сообщение, которое регистрируется, когда правило WAF соответствует трафику, включает значение действия "Сопоставлено". Если общая оценка аномалий всех сопоставленных правил составляет 5 или больше, а политика WAF выполняется в режиме предотвращения, запрос запускает обязательное правило аномалии со значением действия "Заблокировано", а запрос останавливается. Однако если политика WAF выполняется в режиме обнаружения, запрос активирует значение действия "Обнаружено", а запрос регистрируется и передается в серверную часть. Дополнительные сведения см. в статье об устранении неполадок в брандмауэре веб-приложения (WAF) для Шлюза приложений Azure.
Настройка
Все правила WAF можно настроить и развернуть с помощью портала Azure, интерфейсов REST API, шаблонов Azure Resource Manager и Azure PowerShell. Вы также можете настроить политики Azure WAF и управлять ими в масштабе с помощью интеграции диспетчера брандмауэров. Дополнительные сведения см. в статье "Настройка политик WAF с помощью диспетчера брандмауэра Azure".
Мониторинг WAF
Мониторинг состояния шлюза приложений важен, что можно сделать, интегрировав ваш WAF и приложения, которые он защищает, с Microsoft Defender для облака, Azure Monitor и журналами Azure Monitor.
Azure Monitor
Журналы шлюза приложений интегрированы с Azure Monitor, что позволяет отслеживать диагностические сведения, включая оповещения и журналы WAF. Вы можете получить доступ к этой возможности на вкладке "Диагностика " ресурса шлюза приложений на портале Azure или непосредственно с помощью Azure Monitor. Дополнительные сведения о включении журналов см. в Диагностических журналах для шлюза приложений.
Microsoft Defender для облака
Defender для облака позволяет предотвращать, обнаруживать угрозы и реагировать на них. Он обеспечивает более высокую осведомленность о безопасности ресурсов Azure и контроль над ними. Шлюз приложений интегрирован с Defender для облака. Defender для облака проверяет среду для обнаружения незащищенных веб-приложений. Он может рекомендовать использовать WAF в Шлюзе приложений для защиты этих уязвимых ресурсов. Брандмауэры создаются непосредственно в Defender для облака. Эти экземпляры WAF интегрированы с Defender для облака. Они отправляют оповещения и сведения о работоспособности в Defender для облака для создания отчетов.
Microsoft Sentinel
Microsoft Sentinel — это масштабируемое, облачное, информационное управление событиями безопасности (SIEM) и автоматизированное решение для оркестрации безопасности (SOAR). Microsoft Sentinel обеспечивает интеллектуальные средства для аналитики безопасности и аналитики угроз по всему предприятию, предоставляя единое решение для обнаружения предупреждений, визуального контроля угроз, упреждающей охоты и реагирования на угрозы.
С помощью встроенной книги событий брандмауэра Azure WAF вы можете получить общие сведения о событиях безопасности в WAF, включая события, соответствующие и заблокированные правила, а также все остальные действия брандмауэра, зарегистрированные в журнале.
Рабочая тетрадь Azure Monitor для WAF
Рабочая книга Azure Monitor для WAF предоставляет возможность настраиваемой визуализации событий WAF, связанных с безопасностью, на нескольких панели, которые можно фильтровать. Она работает со всеми типами WAF, включая Шлюз приложений, Front Door и CDN, и поддерживает фильтрацию на основе типа WAF или конкретного экземпляра WAF. Импорт с помощью шаблона ARM или шаблона галереи. Для развертывания этой книги обратитесь к книге WAF.
Ведение журнала
WAF в Шлюзе приложений предоставляет подробные отчеты о каждой из обнаруженных угроз. Функция журналирования интегрирована с журналами диагностики Azure. Оповещения записываются в формате JSON. Эти журналы можно интегрировать с журналами Azure Monitor.
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
"operationName": "ApplicationGatewayFirewall",
"time": "2017-03-20T15:52:09.1494499Z",
"category": "ApplicationGatewayFirewallLog",
"properties": {
{
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIp": "203.0.113.145",
"clientPort": "0",
"requestUri": "/",
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"ruleId": "920350",
"ruleGroup": "920-PROTOCOL-ENFORCEMENT",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
"data": "127.0.0.1",
"file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
"line": "791"
},
"hostname": "127.0.0.1",
"transactionId": "16861477007022634343"
"policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
"policyScope": "Global",
"policyScopeName": " Global "
}
}
}
Цена на SKU для WAF шлюза приложений
Модели ценообразования для ценовых категорий SKU WAF_v1 и WAF_v2 имеют ряд отличий. Дополнительные сведения см. в ценах на шлюз приложений.
Новые возможности
О новых возможностях брандмауэра веб-приложения Azure можно узнать на странице Обновления Azure.
Связанный контент
- Дополнительные сведения об управляемых правилах WAF.
- Дополнительные сведения о настраиваемых правилах.
- Узнайте о Брандмауэре веб-приложений на Azure Front Door
- Сведения о безопасности сети Azure