本文解答了有关 Azure Front Door 上 Azure Web 应用程序防火墙的特性和功能的常见问题。
什么是 Azure Web 应用程序防火墙?
Azure Web 应用程序防火墙是一种 Web 应用程序防火墙(WAF),可帮助保护 Web 应用程序免受 SQL 注入、跨站点脚本和其他 Web 攻击等常见威胁。 可以定义由自定义规则和托管规则的组合组成的 WAF 策略,以控制对 Web 应用程序的访问。
可以将 WAF 策略应用于 Azure 应用程序网关或 Azure Front Door 上托管的 Web 应用程序。
Azure Front Door 上的 Azure Web 应用程序防火墙是什么?
Azure Front Door 是一个高度可缩放且全球分布的应用程序和内容分发网络。 Azure Web 应用程序防火墙与 Azure Front Door 集成后,在 Azure 网络边缘(靠近攻击源)停止拒绝服务和目标应用程序攻击,然后再进入虚拟网络。 这种组合提供保护,无需牺牲性能。
Azure Web 应用程序防火墙是否支持 HTTPS?
Azure Front Door 提供传输层安全性(TLS)卸载。 Azure Web 应用程序防火墙原生与 Azure Front Door 集成,可在请求解密后对其进行检查。
Azure Web 应用程序防火墙是否支持 IPv6?
是的。 可为 IPv4 和 IPv6 配置 IP 限制。 有关详细信息,请参阅 有关 IPv6 采用的博客文章,以增强 Azure Front Door 上的 Azure Web 应用程序防火墙。
这些托管规则集有多么更新?
我们尽最大努力跟上不断变化的威胁形势。 更新规则时,我们会使用新的版本号将其添加到默认规则集(DRS)。
如果更改 WAF 策略,传播时间是多长?
大多数 WAF 策略部署在不到 20 分钟内完成。 更新在全球范围内所有边缘位置完成后,策略即生效。
不同区域的 WAF 策略是否可以不同?
当 Azure Web 应用程序防火墙与 Azure Front Door 集成时,WAF 是一种全局资源。 相同的配置适用于所有 Azure Front Door 位置。
如何确保只有 Azure Front Door 才能访问我的网络中后端?
可以在后端配置 IP 访问控制列表,以仅允许 Azure Front Door 出站 IP 地址范围,方法是使用 Azure Front Door 服务标记并拒绝来自 Internet 的任何直接访问。 虚拟网络支持服务标记。 此外,还可以验证 HTTP 标头字段是否 X-Forwarded-Host 对 Web 应用程序有效。
应选择哪些 WAF 选项?
有两个选项可用于在 Azure 中应用 WAF 策略。 Azure Front Door 上的 Azure Web 应用程序防火墙是一种全球分布式边缘安全解决方案。 应用程序网关上的 Azure Web 应用程序防火墙是一种区域专用解决方案。 建议根据总体性能和安全要求选择解决方案。
在 Azure Front Door 上启用 WAF 的建议方法是什么?
在现有应用程序中启用 WAF 时,通常会出现误报现象,其中 WAF 规则将合法流量误判为威胁。 若要最大程度地降低对用户的影响,我们建议执行以下过程:
在 检测模式下 启用 WAF,以确保 WAF 在处理此过程时不会阻止请求。 建议执行此步骤,以便在 WAF 上进行测试。
重要
此过程介绍如何在新的或现有的解决方案中启用 WAF,以便最大程度地减少对应用程序用户的干扰。 如果受到攻击或迫在眉睫的威胁,你可能希望立即将 WAF 部署为防护模式。 然后,可以使用调优过程来监视和调整 WAF 随着时间的推移。 此方法可能会导致某些合法流量被阻止,因此我们建议仅在受到威胁时使用它。
按照 优化 WAF 的指导进行操作。 此过程要求你启用诊断日志记录,定期检查日志,以及添加规则排除和其他缓解措施。
重复此过程并定期检查日志,直到你确信没有合法流量被阻止。 整个过程可能需要几周时间。 理想状态下,每次优化更改后,你会观察到误报的减少。
最后,在预防模式下启用 WAF。
即使在生产环境中运行 WAF 后,仍应持续监控日志,以识别任何其他误报。 定期查看日志还有助于识别阻止的任何实际攻击尝试。
是否支持所有集成平台中的相同 WAF 功能?
目前,核心规则集(CRS)3.0、CRS 3.1 和 CRS 3.2 规则仅支持应用程序网关上的 Azure Web 应用程序防火墙。 仅 Azure Front Door 上的 Azure Web 应用程序防火墙支持速率限制和 Azure 托管的 DRS 规则。
DDoS 防护是否与 Azure Front Door 集成?
Azure Front Door 在全球网络边缘分布。 它可以吸收并在地理上隔离大规模攻击。 可以创建自定义 WAF 策略,以自动阻止和速率限制具有已知签名的 HTTP 和 HTTPS 攻击。 还可以在部署后端的虚拟网络上启用分布式拒绝服务(DDoS)网络保护。
Azure DDoS 防护服务的客户将获得额外的好处,包括成本保护、服务级别协议(SLA)保证,以及从 DDoS 快速响应团队获得专家的访问权限,以便在攻击期间立即获得帮助。 有关详细信息,请参阅 Azure Front Door 上的 DDoS 防护。
为什么为速率限制规则配置的阈值以上的其他请求会传递到后端服务器?
当不同的 Azure Front Door 服务器处理请求时,您可能不会立即察觉到由速率限制阻止的请求。 有关详细信息,请参阅 速率限制和 Azure Front Door 服务器。
WAF 支持哪些内容类型?
Azure Front Door WAF 支持以下内容类型:
DRS 2.0
托管规则:
application/jsonapplication/xmlapplication/x-www-form-urlencodedmultipart/form-data
自定义规则:
application/x-www-form-urlencoded
DRS 1.x
托管规则:
application/x-www-form-urlencodedtext/plain
自定义规则:
application/x-www-form-urlencoded
注释
Azure Front Door WAF 不支持内容编码。 这意味着在发送到 WAF 引擎之前,压缩的消息体不会被解压缩。
是否可以将 Azure Front Door WAF 策略应用到属于不同订阅的 Azure Front Door Premium 配置文件中的前端主机?
不可以。 Azure Front Door 配置文件和 WAF 策略需要位于同一订阅中。