Azure 应用程序网关上的 Azure Web 应用程序防火墙（WAF）最佳做法

本文总结了在 Azure 应用程序网关上使用 Azure Web 应用程序防火墙（WAF）的最佳做法。

对于面向 Internet 的应用程序，我们建议启用 Web 应用程序防火墙（WAF），并将其配置为使用托管规则。 使用 WAF 和 Microsoft 托管规则时，应用程序可以免受各种攻击。

WAF 策略是用于管理应用程序网关 WAF 的新资源类型。 如果有使用 WAF 配置资源的较旧 WAF，则应迁移到 WAF 策略以利用最新功能。

有关详细信息，请参阅以下资源：

• 升级到 Azure 应用程序网关 WAF 策略
• 使用 Azure PowerShell 升级 Web 应用程序防火墙策略
• 使用 Azure 防火墙管理器将应用程序网关 WAF 配置升级到 WAF 策略

WAF 中的规则应针对工作负载进行优化。 如果不优化 WAF，它可能会意外阻止应允许的请求。 优化可能包括创建规则排除项以减少误报检测。

优化 WAF 时，请考虑使用检测模式，该模式记录 WAF 通常会执行的请求和操作，但实际上不会阻止任何流量。

有关详细信息，请参阅排查 Azure 应用程序网关的 Web 应用程序防火墙 (WAF) 问题。

优化 WAF 后，应将其配置为 在 防护 模式下运行。 通过以 预防 模式运行，可以确保 WAF 实际阻止它检测到为恶意的请求。 在 检测 模式下运行可用于测试目的，同时优化和配置 WAF，但它不提供保护。 它会记录流量，但不会采取任何作，例如 允许 或 拒绝。

为应用程序工作负荷优化 WAF 时，通常需创建一组规则排除项以减少假正检测数。 如果使用 Azure 门户手动配置这些排除项，则在升级 WAF 以使用较新的规则集版本时，需要针对新规则集版本重新配置相同的例外。 此过程可能非常耗时且容易出错。

相反，您可以考虑将 WAF 规则排除项和其他配置定义为代码，例如，使用 Azure CLI、Azure PowerShell、Bicep 或 Terraform。 然后，如果需要更新 WAF 规则集版本，可以轻松重复使用相同的排除项。

Microsoft的核心规则集旨在通过检测和阻止常见攻击来保护应用程序。 这些规则基于各种来源，包括来自Microsoft威胁情报的 OWASP 前 10 种攻击类型和信息。

有关详细信息，请参阅 Web 应用程序防火墙 CRS 规则组和规则。

机器人负责大量流向 Web 应用程序的流量。 WAF 的机器人防护规则集根据机器人是好、坏还是未知对机器人进行分类。 然后可以阻止坏机器人，并允许好的机器人（例如搜索引擎爬网程序等）通过应用程序。

有关详细信息，请参阅 Azure Web 应用程序防火墙在 Azure 应用程序网关机器人保护上的概述。

Microsoft 会定期更新托管规则，以考虑当前的威胁情况。 确保定期检查 Azure 托管规则集的更新。

有关详细信息，请参阅 Web 应用程序防火墙 CRS 规则组和规则。

许多 Web 应用程序专为特定地理区域中的用户设计。 如果这种情况适用于应用程序，请考虑实施地理筛选，以阻止来自你期望从中接收流量的国家/地区以外的请求。

有关详细信息，请参阅 Geomatch 自定义规则。

应用程序网关的 WAF 与 Azure Monitor 集成。 启用诊断设置并将 WAF 日志保存到 Log Analytics 等目标非常重要。 应定期查看 WAF 日志。 查看日志有助于 优化 WAF 策略以减少误报检测，并了解应用程序是否受到攻击。

有关详细信息，请参阅 Azure Web 应用程序防火墙监视和日志记录。

了解如何 在应用程序网关上启用 WAF。