Azure Front Door 上的 Azure Web 應(yīng)用程序防火墻,azure防火墻

Azure Front Door 上的 Azure Web 應(yīng)用程序防火墻

Azure Front Door上的Azure Web應(yīng)用程序防火墻(WAF)為Web應(yīng)用程序提供集中保護(hù)。WAF可以防范Web服務(wù)遭到常見(jiàn)的惡意利用和出現(xiàn)漏洞。它使服務(wù)對(duì)用戶(hù)高度可用，并幫助滿(mǎn)足合規(guī)性要求。

Front Door上的WAF是一個(gè)全球性的集中式解決方案。它部署在全球各地的Azure網(wǎng)絡(luò)邊緣位置。啟用了WAF的Web應(yīng)用程序會(huì)檢查Front Door在網(wǎng)絡(luò)邊緣傳快遞的每個(gè)傳入請(qǐng)求。

在惡意攻擊進(jìn)入虛擬網(wǎng)絡(luò)之前，WAF會(huì)阻止這些攻擊靠近攻擊源。你可以獲得大規(guī)模的全局保護(hù)，且不會(huì)降低性能。WAF策略可輕松鏈接到訂閱中的任何Front Door配置文件。在幾分鐘內(nèi)就能部署新的規(guī)則，因此可以快速響應(yīng)不斷變化的威脅模式。

WAF策略和規(guī)則

可以配置一個(gè)WAF策略，然后將該策略與一個(gè)或多個(gè)Front Door前端關(guān)聯(lián)，以提供保護(hù)。WAF策略包含兩種類(lèi)型的安全規(guī)則：

·客戶(hù)創(chuàng)作的自定義規(guī)則。

·托管規(guī)則集，即由Azure托管的預(yù)配置規(guī)則設(shè)置的集合。

如果兩者均存在，則先處理自定義規(guī)則，然后處理托管規(guī)則集中的規(guī)則。規(guī)則由匹配條件、優(yōu)先級(jí)和操作組成。支持的操作類(lèi)型包括：允許、阻止、記錄和重定向。可以組合托管規(guī)則和自定義規(guī)則以創(chuàng)建滿(mǎn)足特定應(yīng)用程序保護(hù)要求的完全自定義策略。

策略中的規(guī)則按優(yōu)先順序進(jìn)行處理。“優(yōu)先級(jí)”是唯一的整數(shù)，定義規(guī)則的處理順序。整數(shù)值越小表示優(yōu)先級(jí)越高，這些規(guī)則的評(píng)估順序先于整數(shù)值較大的規(guī)則。匹配規(guī)則后，規(guī)則中定義的相應(yīng)操作將應(yīng)用于請(qǐng)求。處理此類(lèi)匹配后，不再進(jìn)一步處理優(yōu)先級(jí)較低的規(guī)則。

Front Door交付的Web應(yīng)用程序一次只能與一個(gè)WAF策略關(guān)聯(lián)。但可以使用Front Door配置，且無(wú)需將其與任何WAF策略關(guān)聯(lián)。如果WAF策略存在，它將復(fù)制到所有邊緣位置，以確保全球的安全策略保持一致。

WAF模式

WAF策略可配置為在以下兩種模式下運(yùn)行：

·檢測(cè)模式：在檢測(cè)模式下運(yùn)行時(shí)，WAF除進(jìn)行監(jiān)視并將請(qǐng)求及其匹配的WAF規(guī)則記錄到WAF日志中以外，不會(huì)執(zhí)行任何其他操作。可為Front Door啟用日志診斷。如果使用門(mén)戶(hù)，請(qǐng)轉(zhuǎn)到“診斷”部分。

·阻止模式：在阻止模式下，如果請(qǐng)求與規(guī)則匹配，WAF將執(zhí)行指定的操作。如果找到匹配項(xiàng)，則不會(huì)評(píng)估優(yōu)先級(jí)更低的規(guī)則。任何匹配的請(qǐng)求也會(huì)記錄在WAF日志中。

WAF操作

如果請(qǐng)求匹配規(guī)則的條件，WAF客戶(hù)可以選擇運(yùn)行其中某個(gè)操作：

·允許：請(qǐng)求通過(guò)WAF傳遞并轉(zhuǎn)發(fā)到后端。沒(méi)有其他優(yōu)先級(jí)較低的規(guī)則可以阻止此請(qǐng)求。

·阻止：請(qǐng)求受阻，WAF將響應(yīng)發(fā)國(guó)際快遞客戶(hù)端，且不會(huì)將請(qǐng)求轉(zhuǎn)發(fā)到后端。

·記錄：請(qǐng)求記錄在WAF日志中，且WAF繼續(xù)評(píng)估優(yōu)先級(jí)較低的規(guī)則。

·重定向：WAF將請(qǐng)求重定向到指定的URI。指定的URI是策略級(jí)別設(shè)置。配置后，與“重定向”操作匹配的所有請(qǐng)求都將發(fā)國(guó)際快遞該URI。

WAF規(guī)則

WAF策略可以由安全規(guī)則（由客戶(hù)創(chuàng)作的自定義規(guī)則）和托管規(guī)則集（由Azure托管的預(yù)配置規(guī)則集）這兩種類(lèi)型組成。

自定義創(chuàng)作規(guī)則

可按如下方式配置自定義規(guī)則WAF：

·IP允許列表和阻止列表：可以基于客戶(hù)端IP地址列表或IP地址范圍來(lái)控制對(duì)Web應(yīng)用程序的訪(fǎng)問(wèn)。支持IPv4和IPv6地址類(lèi)型。可將此列表配置為阻止或允許源IP與列表中的IP匹配的請(qǐng)求。

·基于地理位置的訪(fǎng)問(wèn)控制：可以基于與客戶(hù)端IP地址相關(guān)聯(lián)的國(guó)家/地區(qū)代碼來(lái)控制對(duì)Web應(yīng)用程序的訪(fǎng)問(wèn)。

·基于HTTP參數(shù)的訪(fǎng)問(wèn)控制：可使規(guī)則基于HTTP/HTTPS請(qǐng)求參數(shù)中的字符串匹配項(xiàng)。例如，查詢(xún)字符串、POST參數(shù)、請(qǐng)求URI、請(qǐng)求標(biāo)頭和請(qǐng)求正文。

·基于請(qǐng)求方法的訪(fǎng)問(wèn)控制：使規(guī)則基于請(qǐng)求的HTTP請(qǐng)求方法。例如GET、PUT或HEAD。

·大小約束：可使規(guī)則基于請(qǐng)求的特定部分（例如查詢(xún)字符串、URI或請(qǐng)求正文）的長(zhǎng)度。

·速率限制規(guī)則：速率控制規(guī)則用于限制任何客戶(hù)端IP發(fā)出的異常高的流量。對(duì)于客戶(hù)端IP在一分鐘內(nèi)允許的Web請(qǐng)求數(shù)，可以配置一個(gè)閾值。此規(guī)則與基于IP列表的允許/阻止自定義規(guī)則不同，后者允許或阻止客戶(hù)端IP的所有請(qǐng)求。速率限制可以與其他匹配條件（例如用于粒度速率控制的HTTP(S)參數(shù)匹配）結(jié)合使用。

Azure托管的規(guī)則集

Azure托管的規(guī)則集可輕松針對(duì)一組常見(jiàn)的安全威脅來(lái)部署保護(hù)。由于此類(lèi)規(guī)則集由Azure托管，因此這些規(guī)則會(huì)根據(jù)需要進(jìn)行更新以預(yù)防新的攻擊簽名。Azure托管的默認(rèn)規(guī)則集包含針對(duì)以下威脅類(lèi)別的規(guī)則：

·跨站點(diǎn)腳本

·Java攻擊

·本地文件包含

·PHP注入攻擊

·遠(yuǎn)程命令執(zhí)行

·遠(yuǎn)程文件包含

·會(huì)話(huà)固定

·SQL注入保護(hù)

·協(xié)議攻擊者

將新的攻擊簽名添加到規(guī)則集時(shí)，默認(rèn)規(guī)則集的版本號(hào)將遞增。默認(rèn)規(guī)則集在WAF策略的檢測(cè)模式下默認(rèn)啟用。可以禁用或啟用默認(rèn)規(guī)則集內(nèi)的各個(gè)規(guī)則以滿(mǎn)足應(yīng)用程序要求。還可以根據(jù)規(guī)則設(shè)置特定操作（允許/阻止/重定向/記錄）。

有時(shí)你可能需要忽略WAF評(píng)估中的某些請(qǐng)求屬性。一個(gè)常見(jiàn)的例子是用于身份驗(yàn)證的Active Directory插入令牌。可以為托管規(guī)則、規(guī)則組或整個(gè)規(guī)則集配置排除列表。

默認(rèn)操作為“阻止”。此外，如果想要繞過(guò)默認(rèn)規(guī)則集中的任何預(yù)配置規(guī)則，可以在同一WAF策略中配置自定義規(guī)則。

在評(píng)估默認(rèn)規(guī)則集中的規(guī)則之前，自定義規(guī)則始終適用。如果請(qǐng)求與某個(gè)自定義規(guī)則相匹配，將應(yīng)用相應(yīng)的規(guī)則操作。請(qǐng)求將被阻止，或通過(guò)后端傳遞。不會(huì)處理任何其他自定義規(guī)則或默認(rèn)規(guī)則集中的規(guī)則。還可以從WAF策略中刪除默認(rèn)規(guī)則集。

機(jī)器人防護(hù)規(guī)則集（預(yù)覽版）

可以啟用托管機(jī)器人防護(hù)規(guī)則集，以便針對(duì)來(lái)自已知機(jī)器人類(lèi)別的請(qǐng)求執(zhí)行自定義操作。

支持三種機(jī)器人類(lèi)別：“不良”、“良好”和“未知”。機(jī)器人簽名由WAF平臺(tái)管理和動(dòng)態(tài)更新。

不良的機(jī)器人包括來(lái)自惡意IP地址的機(jī)器人，以及偽造了其身份的機(jī)器人。惡意IP地址源自于Microsoft威脅情報(bào)源，每小時(shí)更新一次。Intelligent Security Graph為Microsoft威脅智能助力，它已得到Azure安全中心等多項(xiàng)服務(wù)的運(yùn)用。

善意機(jī)器人包括經(jīng)過(guò)驗(yàn)證的搜索引擎。“未知”類(lèi)別包括將自身標(biāo)識(shí)為機(jī)器人的其他機(jī)器人組。例如市場(chǎng)分析器、源提取器和數(shù)據(jù)收集代理。

未知的機(jī)器人是通過(guò)已發(fā)布的用戶(hù)代理分類(lèi)的，未經(jīng)過(guò)附加的驗(yàn)證。可為不同類(lèi)型的機(jī)器人設(shè)置自定義的阻止、允許、記錄或重定向操作。

重要

機(jī)器人防護(hù)規(guī)則集當(dāng)前為公共預(yù)覽版，并提供預(yù)覽版服務(wù)級(jí)別協(xié)議。某些功能可能不受支持或者受限。有關(guān)詳細(xì)信息，請(qǐng)參閱Microsoft Azure預(yù)覽版補(bǔ)充使用條款。

如果啟用了機(jī)器人防護(hù)，則與機(jī)器人規(guī)則匹配的傳入請(qǐng)求將記錄在FrontdoorWebApplicationFirewallLog日志中。可從存儲(chǔ)帳戶(hù)、事件中心或日志分析訪(fǎng)問(wèn)WAF日志。

配置

可以使用Azure門(mén)戶(hù)、REST API、Azure資源管理器模板和Azure PowerShell來(lái)配置和部署所有WAF規(guī)則類(lèi)型。

監(jiān)視

在Front Door監(jiān)視WAF與Azure Monitor集成，以便跟蹤警報(bào)并輕松監(jiān)視流量趨勢(shì)。

特別聲明：以上文章內(nèi)容僅代表作者本人觀(guān)點(diǎn)，不代表ESG跨境電商觀(guān)點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。