什么是 Azure 應(yīng)用程序網(wǎng)關(guān)上的 Azure Web 應(yīng)用程序防火墻？

Azure應(yīng)用程序網(wǎng)關(guān)提供的Azure Web應(yīng)用程序防火墻(WAF)可以對Web應(yīng)用程序進(jìn)行集中保護(hù)，避免其受到常見的攻擊和漏洞傷害。Web應(yīng)用程序已逐漸成為利用常見已知漏洞的惡意攻擊的目標(biāo)。SQL注入和跨站點(diǎn)腳本是最常見的攻擊。

應(yīng)用程序網(wǎng)關(guān)上的WAF基于開放Web應(yīng)用程序安全項(xiàng)目(OWASP)中的核心規(guī)則集(CRS)3.1、3.0或2.2.9。WAF會自動更新以包含針對新漏洞的保護(hù)，而無需其他配置。

下面列出了WAF策略中存在的所有WAF功能?？梢詣?chuàng)建多個(gè)策略，并可將它們與應(yīng)用程序網(wǎng)關(guān)或應(yīng)用程序網(wǎng)關(guān)上的單個(gè)偵聽器或基于路徑的路由規(guī)則相關(guān)聯(lián)。這樣，如果需要，你可以為應(yīng)用程序網(wǎng)關(guān)后面的每個(gè)站點(diǎn)提供單獨(dú)的策略。有關(guān)WAF策略的詳細(xì)信息，請參閱創(chuàng)建WAF策略。

應(yīng)用程序網(wǎng)關(guān)作為應(yīng)用程序傳送控制器(ADC)運(yùn)行。它提供了傳輸層安全性(TLS)（以前稱為安全套接字層(SSL)）、終止、基于Cookie的會話相關(guān)性、輪循負(fù)載分發(fā)、基于內(nèi)容的路由、托管多個(gè)網(wǎng)站的功能，以及安全增強(qiáng)功能。

應(yīng)用程序網(wǎng)關(guān)安全增強(qiáng)功能包括TLS策略管理和端到端TLS支持。將WAF集成到應(yīng)用程序網(wǎng)關(guān)，從而增強(qiáng)了應(yīng)用程序的安全性。此集成可以保護(hù)Web應(yīng)用程序免受常見漏洞的侵害。它還提供了易于配置的中央位置來進(jìn)行管理。

優(yōu)點(diǎn)

本部分介紹WAF應(yīng)用程序網(wǎng)關(guān)上WAF提供的核心優(yōu)勢。

保護(hù)

·無需修改后端代碼即可保護(hù)Web應(yīng)用程序免受Web漏洞和攻擊的威脅。

·同時(shí)保護(hù)多個(gè)Web應(yīng)用程序。應(yīng)用程序網(wǎng)關(guān)的實(shí)例最多可以托管40個(gè)受Web應(yīng)用程序防火墻保護(hù)的網(wǎng)站。

·為同一WAF后面的不同站點(diǎn)創(chuàng)建自定義WAF策略

·利用IP信譽(yù)規(guī)則集保護(hù)Web應(yīng)用程序免受惡意機(jī)器人的攻擊（預(yù)覽版）

監(jiān)視

·使用實(shí)時(shí)WAF日志監(jiān)視Web應(yīng)用程序受到的攻擊。此日志與Azure Monitor相集成，讓你可以跟蹤WAF警報(bào)并輕松監(jiān)視趨勢。

·應(yīng)用程序網(wǎng)關(guān)WAF已與Azure安全中心集成。安全中心可集中查看所有Azure資源的安全狀態(tài)。

自定義

·根據(jù)應(yīng)用程序的要求自定義WAF規(guī)則和規(guī)則組，并消除誤報(bào)。

·為WAF后面的每個(gè)站點(diǎn)關(guān)聯(lián)WAF策略，以允許進(jìn)行特定于站點(diǎn)的配置

·根據(jù)應(yīng)用程序的需求創(chuàng)建自定義規(guī)則

功能

·SQL注入保護(hù)。

·跨站點(diǎn)腳本保護(hù)。

·其他常見Web攻擊防護(hù)，例如命令注入、HTTP請求走私、HTTP響應(yīng)拆分和遠(yuǎn)程文件包含。

·防止HTTP協(xié)議違反行為的保護(hù)。

·防止HTTP協(xié)議異常行為（例如缺少主機(jī)用戶代理和接受標(biāo)頭）的保護(hù)。

·防范爬網(wǎng)程序和掃描程序。

·檢測常見應(yīng)用程序錯(cuò)誤配置（例如Apache和IIS等）。

·具有下限和上限的可配置請求大小限制。

·排除列表允許你忽略WAF評估中的某些請求屬性。常見示例是Active Directory插入的令牌，這些令牌用于身份驗(yàn)證或密碼字段。

·根據(jù)應(yīng)用程序的具體需求創(chuàng)建自定義規(guī)則。

·按地理位置篩選流量，以允許或阻止從特定的國家/地區(qū)訪問你的應(yīng)用程序。（預(yù)覽版）

·使用機(jī)器人緩解規(guī)則集防范應(yīng)用程序遭到機(jī)器人攻擊。（預(yù)覽版）

·檢查請求正文中的JSON和XML

WAF策略和規(guī)則

若要在應(yīng)用程序網(wǎng)關(guān)上啟用Web應(yīng)用程序防火墻，必須創(chuàng)建WAF策略。此策略是指存在所有托管規(guī)則、自定義規(guī)則、排除項(xiàng)和其他自定義項(xiàng)（如文件上傳限制）的位置。

可以配置一個(gè)WAF策略，然后將該策略與一個(gè)或多個(gè)應(yīng)用程序網(wǎng)關(guān)相關(guān)聯(lián)，以提供保護(hù)。WAF策略包含兩種類型的安全規(guī)則：

·你創(chuàng)建的自定義規(guī)則

·托管規(guī)則集，即由Azure托管的預(yù)配置規(guī)則集的集合

如果兩者均存在，則先處理自定義規(guī)則，然后處理托管規(guī)則集中的規(guī)則。規(guī)則由匹配條件、優(yōu)先級和操作組成。支持的操作類型包括：ALLOW、BLOCK和LOG。可以組合托管規(guī)則和自定義規(guī)則以創(chuàng)建滿足特定應(yīng)用程序保護(hù)要求的完全自定義策略。

策略中的規(guī)則按優(yōu)先順序進(jìn)行處理?！皟?yōu)先級”是唯一的整數(shù)，定義規(guī)則的處理順序。整數(shù)值越小表示優(yōu)先級越高，這些規(guī)則的評估順序先于整數(shù)值較大的規(guī)則。匹配規(guī)則后，規(guī)則中定義的相應(yīng)操作將應(yīng)用于請求。處理此類匹配后，不再進(jìn)一步處理優(yōu)先級較低的規(guī)則。

由應(yīng)用程序網(wǎng)關(guān)提供的Web應(yīng)用，可以在全局級別、每個(gè)站點(diǎn)級別或每個(gè)URI級別與WAF策略關(guān)聯(lián)。

核心規(guī)則集

應(yīng)用程序網(wǎng)關(guān)支持三個(gè)規(guī)則集：CRS 3.1、CRS 3.0和CRS 2.2.9。這些規(guī)則保護(hù)Web應(yīng)用程序免受惡意活動的攻擊。

有關(guān)詳細(xì)信息，請參閱Web應(yīng)用程序防火墻CRS規(guī)則組和規(guī)則。

自定義規(guī)則

應(yīng)用程序網(wǎng)關(guān)也支持自定義規(guī)則。使用自定義規(guī)則，可以創(chuàng)建自己的規(guī)則，將針對通過WAF傳遞的每個(gè)請求評估這些規(guī)則。這些規(guī)則的優(yōu)先級高于托管規(guī)則集中的其余規(guī)則。如果滿足一組條件，則執(zhí)行操作以進(jìn)行允許或阻止。

自定義規(guī)則的geomatch運(yùn)算符現(xiàn)以公共預(yù)覽版提供。有關(guān)詳細(xì)信息，請參閱geomatch自定義規(guī)則。

備注

自定義規(guī)則的geomatch運(yùn)算符當(dāng)前為公共預(yù)覽版，并提供預(yù)覽版服務(wù)級別協(xié)議。某些功能可能不受支持或者受限。有關(guān)詳細(xì)信息，請參閱Microsoft Azure預(yù)覽版補(bǔ)充使用條款。

有關(guān)自定義規(guī)則的詳細(xì)信息，請參閱應(yīng)用程序網(wǎng)關(guān)的自定義規(guī)則。

機(jī)器人緩解（預(yù)覽版）

可以為WAF啟用托管機(jī)器人防護(hù)規(guī)則集，以便阻止或記錄來自已知惡意IP地址的請求以及托管規(guī)則集。IP地址源自Microsoft威脅智能源。Intelligent Security Graph為Microsoft威脅智能助力，它已得到Azure Security Center等多項(xiàng)服務(wù)的運(yùn)用。

備注

機(jī)器人防護(hù)規(guī)則集當(dāng)前為公共預(yù)覽版，并提供預(yù)覽版服務(wù)級別協(xié)議。某些功能可能不受支持或者受限。有關(guān)詳細(xì)信息，請參閱Microsoft Azure預(yù)覽版補(bǔ)充使用條款。

如果啟用了機(jī)器人防護(hù)，則與惡意機(jī)器人的客戶端IP匹配的傳入請求將記錄在防火墻日志中。有關(guān)詳細(xì)信息，請參閱下文?？梢詮拇鎯簟⑹录行幕蛉罩痉治鲈L問WAF日志。

WAF模式

應(yīng)用程序網(wǎng)關(guān)WAF可配置為在以下兩種模式中運(yùn)行：

·檢測模式：監(jiān)視和記錄所有威脅警報(bào)。在“診斷”部分打開應(yīng)用程序網(wǎng)關(guān)的日志記錄診斷。還必須確保已選擇并打開WAF日志。在檢測模式下運(yùn)行時(shí)，Web應(yīng)用程序防火墻不會阻止傳入的請求。

·阻止模式：阻止規(guī)則檢測到的入侵和攻擊。攻擊者會收到“403未授權(quán)訪問”異常，且連接會結(jié)束。阻止模式會在WAF日志中記錄此類攻擊。

備注

建議在生產(chǎn)環(huán)境中的短時(shí)間內(nèi)，在檢測模式下運(yùn)行新部署的WAF。這樣，在轉(zhuǎn)換為阻止模式之前，便有機(jī)會獲取防火墻日志并更新任何異常或自定義規(guī)則。這有助于減少意外阻止流量的發(fā)生次數(shù)。

異常評分模式

OWASP有兩種模式，用于決定是否阻止流量：傳統(tǒng)模式和異常評分模式。

在傳統(tǒng)模式下，與任何規(guī)則匹配的流量被視為獨(dú)立于任何其他規(guī)則匹配。此模式易于理解。但其局限在于，未提供相關(guān)信息以表明與特定請求匹配的規(guī)則數(shù)。因此，引入了異常評分模式。這是OWASP 3.x的默認(rèn)模式。

在異常評分模式下，當(dāng)防火墻處于阻止模式時(shí)，不會立即阻止與任何規(guī)則匹配的流量。規(guī)則具有一定的嚴(yán)重性：“嚴(yán)重”、“錯(cuò)誤”、“警告”或“通知”。此嚴(yán)重性會影響請求的數(shù)值，該數(shù)值稱為異常分?jǐn)?shù)。例如，一個(gè)“警告”規(guī)則匹配對應(yīng)的分?jǐn)?shù)為3。一個(gè)“嚴(yán)重”規(guī)則匹配對應(yīng)的分?jǐn)?shù)為5。

異常分?jǐn)?shù)的閾值為5，用于阻止流量。因此，單個(gè)“嚴(yán)重”規(guī)則匹配足以讓應(yīng)用程序網(wǎng)關(guān)WAF阻止請求，即使在阻止模式下也是如此。但一個(gè)“警告”規(guī)則匹配僅使異常分?jǐn)?shù)增加3，而這并不足以阻止流量。

備注

WAF規(guī)則匹配流量時(shí)記錄的消息包括操作值“已阻止”。但實(shí)際上只會在異常分?jǐn)?shù)為5或更高時(shí)阻止流量。有關(guān)詳細(xì)信息，請參閱排查Azure應(yīng)用程序網(wǎng)關(guān)的Web應(yīng)用程序防火墻(WAF)問題。

WAF監(jiān)視

監(jiān)視應(yīng)用程序網(wǎng)關(guān)的運(yùn)行狀況非常重要。通過與Azure安全中心、Azure Monitor和Azure Monitor日志相集成，可以監(jiān)視Web應(yīng)及其保護(hù)的應(yīng)用程序的運(yùn)行狀況。

Azure Monitor

應(yīng)用程序網(wǎng)關(guān)日志與Azure Monitor相集成。這樣，便可以跟蹤包括WAF警報(bào)和日志在內(nèi)的診斷信息。可以在門戶中應(yīng)用程序網(wǎng)關(guān)資源的“診斷”選項(xiàng)卡上訪問此功能，也可以通過Azure Monitor直接訪問此功能。若要詳細(xì)了解如何啟用日志，請參閱應(yīng)用程序網(wǎng)關(guān)診斷。

Azure安全中心

安全中心可幫助防范、檢測和應(yīng)對威脅。它可提高對Azure資源安全性的可見性和控制力度。應(yīng)用程序網(wǎng)關(guān)已與安全中心集成。安全中心會掃描環(huán)境以檢測未受保護(hù)的Web應(yīng)用程序。它可以建議應(yīng)用程序網(wǎng)關(guān)WAF保護(hù)這些易受攻擊的資源。直接從安全中心創(chuàng)建防火墻。這些WAF實(shí)例已與安全中心集成。他們將警報(bào)和運(yùn)行狀況信息發(fā)送到安全中心以進(jìn)行報(bào)告。

Azure Sentinel

Microsoft Azure Sentinel是可縮放的云原生安全信息事件管理(SIEM)和安全業(yè)務(wù)流程自動響應(yīng)(SOAR)解決方案。Azure Sentinel在整個(gè)企業(yè)范圍內(nèi)提供智能安全分析和威脅智能，為警報(bào)檢測、威脅可見性、主動搜尋和威脅響應(yīng)提供單一解決方案。

使用內(nèi)置的Azure WAF防火墻事件工作簿可以大致了解WAF中的安全事件。這包括事件、匹配和阻止的規(guī)則，以及在防火墻日志中記錄的其他所有內(nèi)容。參閱下面有關(guān)日志記錄的詳細(xì)信息。

用于WAF的Azure Monitor工作簿

此工作簿支持跨多個(gè)可篩選面板自定義與安全相關(guān)WAF事件的可視化。它適用于所有WAF類型，包括應(yīng)用程序網(wǎng)關(guān)、Front Door和CDN，并且可以根據(jù)WAF類型或特定WAF實(shí)例進(jìn)行篩選。通過ARM模板或庫模板導(dǎo)入。若要部署此工作簿，請參閱WAF工作簿。

日志記錄

應(yīng)用程序網(wǎng)關(guān)WAF提供有關(guān)檢測到的每個(gè)威脅的詳細(xì)報(bào)告。日志記錄已與Azure診斷日志集成。警報(bào)以json格式記錄。這些日志可與Azure Monitor日志集成。

JSON

{

"resourceId":"/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",

"operationName":"ApplicationGatewayFirewall",

"time":"2017-03-20T15:52:09.1494499Z",

"category":"ApplicationGatewayFirewallLog",

"properties":{

{

"instanceId":"ApplicationGatewayRole_IN_0",

"clientIp":"52.161.109.145",

"clientPort":"0",

"requestUri":"/",

"ruleSetType":"OWASP",

"ruleSetVersion":"3.0",

"ruleId":"920350",

"ruleGroup":"920-PROTOCOL-ENFORCEMENT",

"message":"Host header is a numeric IP address",

"action":"Matched",

"site":"Global",

"details":{

"message":"Warning.Pattern match"^[\\d.:]+$"at REQUEST_HEADERS:Host....",

"data":"127.0.0.1",

"file":"rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",

"line":"791"

},

"hostname":"127.0.0.1",

"transactionId":"16861477007022634343"

"policyId":"/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",

"policyScope":"Global",

"policyScopeName":"Global"

}

}

}

應(yīng)用程序網(wǎng)關(guān)WAF SKU定價(jià)

WAF_v1和WAF_v2 SKU的定價(jià)模型不同。有關(guān)詳細(xì)信息，請參閱應(yīng)用程序網(wǎng)關(guān)定價(jià)頁。