Wat is Azure Web Application Firewall op Azure Application Gateway? - Azure-webtoepassingsfirewall (2023)

  • Artikel

Azure Web Application Firewall (WAF) op Azure Application Gateway biedt gecentraliseerde bescherming van uw webtoepassingen tegen veelvoorkomende exploits en kwetsbaarheden. Webapplicaties worden steeds vaker het doelwit van kwaadaardige aanvallen die misbruik maken van algemeen bekende kwetsbaarheden. SQL-injectie en cross-site scripting behoren tot de meest voorkomende aanvallen.

WAF op Application Gateway is gebaseerd op deKernregelset (CRS)van het Open Web Application Security Project (OWASP).

Alle onderstaande WAF-functies bestaan ​​binnen een WAF-beleid. U kunt meerdere beleidsregels maken en deze kunnen worden gekoppeld aan een Application Gateway, aan individuele listeners of aan padgebaseerde routeringsregels op een Application Gateway. Op deze manier kunt u indien nodig afzonderlijk beleid hebben voor elke site achter uw Application Gateway. Zie voor meer informatie over WAF-beleidMaak een WAF-beleid.

Opmerking

Application Gateway heeft twee versies van de WAF-SKU: Application Gateway WAF_v1 en Application Gateway WAF_v2. WAF-beleidskoppelingen worden alleen ondersteund voor de Application Gateway WAF_v2-sku.

Wat is Azure Web Application Firewall op Azure Application Gateway? - Azure-webtoepassingsfirewall (1)

Application Gateway werkt als een Application Delivery Controller (ADC). Het biedt Transport Layer Security (TLS), voorheen bekend als Secure Sockets Layer (SSL), beëindiging, op cookies gebaseerde sessieaffiniteit, round-robin-belastingsverdeling, op inhoud gebaseerde routering, de mogelijkheid om meerdere websites te hosten en beveiligingsverbeteringen.

Application Gateway-beveiligingsverbeteringen omvatten TLS-beleidsbeheer en end-to-end TLS-ondersteuning. Applicatiebeveiliging wordt versterkt door WAF-integratie in Application Gateway. De combinatie beschermt uw webapplicaties tegen veelvoorkomende kwetsbaarheden. En het biedt een eenvoudig te configureren centrale locatie om te beheren.

Voordelen

In deze sectie worden de belangrijkste voordelen beschreven die WAF op Application Gateway biedt.

Bescherming

  • Bescherm uw webapplicaties tegen webkwetsbaarheden en aanvallen zonder wijziging van de back-endcode.

  • Bescherm meerdere webapplicaties tegelijkertijd. Een exemplaar van Application Gateway kan maximaal 40 websites hosten die worden beschermd door een webtoepassingsfirewall.

  • Maak aangepast WAF-beleid voor verschillende sites achter dezelfde WAF

  • Bescherm uw webapplicaties tegen kwaadaardige bots met de regelset voor IP-reputatie

Toezicht houden

Maatwerk

  • Pas WAF-regels en regelgroepen aan om aan uw toepassingsvereisten te voldoen en elimineer valse positieven.

  • Koppel een WAF-beleid voor elke site achter uw WAF om sitespecifieke configuratie mogelijk te maken

  • Maak aangepaste regels die passen bij de behoeften van uw toepassing

Functies

  • Bescherming tegen SQL-injectie.
  • Cross-site scripting bescherming.
  • Bescherming tegen andere veelvoorkomende webaanvallen, zoals opdrachtinjectie, het smokkelen van HTTP-verzoeken, het splitsen van HTTP-antwoorden en het opnemen van externe bestanden.
  • Bescherming tegen schendingen van het HTTP-protocol.
  • Bescherming tegen afwijkingen in het HTTP-protocol, zoals ontbrekende host user-agent en accept-headers.
  • Bescherming tegen crawlers en scanners.
  • Detectie van algemene onjuiste configuraties van toepassingen (bijvoorbeeld Apache en IIS).
  • Configureerbare limieten voor de aanvraaggrootte met onder- en bovengrenzen.
  • Met uitsluitingslijsten kunt u bepaalde verzoekkenmerken weglaten uit een WAF-evaluatie. Een veelvoorkomend voorbeeld zijn door Active Directory ingevoegde tokens die worden gebruikt voor authenticatie of wachtwoordvelden.
  • Creëer aangepaste regels die passen bij de specifieke behoeften van uw toepassingen.
  • Geo-filter verkeer om bepaalde landen/regio's toegang tot uw applicaties toe te staan ​​of te blokkeren.
  • Bescherm uw applicaties tegen bots met de regelset voor het beperken van bots.
  • Inspecteer JSON en XML in de aanvraagtekst

WAF-beleid en regels

Om een ​​Web Application Firewall op Application Gateway in te schakelen, moet u een WAF-beleid maken. Dit beleid bevat alle beheerde regels, aangepaste regels, uitsluitingen en andere aanpassingen, zoals de limiet voor het uploaden van bestanden.

U kunt een WAF-beleid configureren en dat beleid koppelen aan een of meer toepassingsgateways voor bescherming. Een WAF-beleid bestaat uit twee typen beveiligingsregels:

  • Aangepaste regels die u maakt

  • Beheerde regelsets die een verzameling van door Azure beheerde vooraf geconfigureerde regelsets zijn

Als beide aanwezig zijn, worden aangepaste regels verwerkt voordat de regels in een beheerde regelset worden verwerkt. Een regel bestaat uit een overeenkomstvoorwaarde, een prioriteit en een actie. Ondersteunde actietypen zijn: TOESTAAN, BLOKKEREN en LOG. U kunt een volledig aangepast beleid maken dat voldoet aan uw specifieke eisen voor applicatiebeveiliging door beheerde en aangepaste regels te combineren.

Regels binnen een beleid worden in volgorde van prioriteit verwerkt. Prioriteit is een uniek geheel getal dat de volgorde van te verwerken regels definieert. Een kleinere integerwaarde geeft een hogere prioriteit aan en die regels worden geëvalueerd vóór regels met een hogere integerwaarde. Zodra aan een regel is voldaan, wordt de overeenkomstige actie die in de regel is gedefinieerd, toegepast op de aanvraag. Zodra zo'n overeenkomst is verwerkt, worden regels met lagere prioriteit niet verder verwerkt.

Aan een webtoepassing die door Application Gateway wordt geleverd, kan een WAF-beleid zijn gekoppeld op mondiaal niveau, per site of per URI.

Kernregelsets

Application Gateway ondersteunt meerdere regelsets, waaronder CRS 3.2, CRS 3.1 en CRS 3.0. Deze regels beschermen uw webtoepassingen tegen schadelijke activiteiten.

Voor meer informatie, zieWebapplicatie firewall CRS-regelgroepen en -regels.

Aangepaste regels

Application Gateway ondersteunt ook aangepaste regels. Met aangepaste regels kunt u uw eigen regels maken, die worden geëvalueerd voor elk verzoek dat door WAF gaat. Deze regels hebben een hogere prioriteit dan de rest van de regels in de beheerde regelsets. Als aan een reeks voorwaarden is voldaan, wordt een actie ondernomen om toe te staan ​​of te blokkeren.

De geomatch-operator is nu beschikbaar voor aangepaste regels. Ziengeomatch aangepaste regelsvoor meer informatie.

Zie voor meer informatie over aangepaste regelsAangepaste regels voor Application Gateway.

Regelset voor botbescherming

U kunt een beheerde regelset voor botbescherming inschakelen om aangepaste acties uit te voeren op verzoeken van alle botcategorieën.

Er worden drie botcategorieën ondersteund:

  • Slecht

    Onder slechte bots vallen bots van kwaadwillende IP-adressen en bots die hun identiteit hebben vervalst. Slechte bots met kwaadaardige IP's zijn afkomstig van de zeer betrouwbare IP-indicatoren van compromissen van de Microsoft Threat Intelligence-feed.

  • Goed

    Goede bots zijn gevalideerde zoekmachines zoals Googlebot, bingbot en andere vertrouwde user-agents.

  • Onbekend

    Onbekende bots worden geclassificeerd via gepubliceerde user-agents zonder aanvullende validatie. Bijvoorbeeld marktanalyzer, feedfetchers en gegevensverzamelingsagenten. Onbekende bots bevatten ook kwaadaardige IP-adressen die afkomstig zijn van Microsoft Threat Intelligence-feed's medium-trust IP Indicators of Compromise.

Bothandtekeningen worden beheerd en dynamisch bijgewerkt door het WAF-platform.

Wat is Azure Web Application Firewall op Azure Application Gateway? - Azure-webtoepassingsfirewall (2)

U kunt Microsoft_BotManagerRuleSet_1.0 toewijzen met behulp van deToewijzenoptie onderBeheerde regelsets:

Wat is Azure Web Application Firewall op Azure Application Gateway? - Azure-webtoepassingsfirewall (3)

Als botbeveiliging is ingeschakeld, worden inkomende verzoeken die overeenkomen met botregels, geblokkeerd, toegestaan ​​of geregistreerd op basis van de geconfigureerde actie. Kwaadaardige bots worden geblokkeerd, geverifieerde crawlers van zoekmachines zijn toegestaan, onbekende crawlers van zoekmachines worden geblokkeerd en onbekende bots worden standaard geregistreerd. U kunt aangepaste acties instellen om verschillende soorten bots te blokkeren, toe te staan ​​of vast te leggen.

U kunt toegang krijgen tot WAF-logboeken vanuit een opslagaccount, Event Hub, logboekanalyse of logboeken verzenden naar een partneroplossing.

WAF-modi

De Application Gateway WAF kan worden geconfigureerd om in de volgende twee modi te worden uitgevoerd:

  • Detectie modus: Bewaakt en registreert alle bedreigingswaarschuwingen. U schakelt Diagnostische logboek registratie in voor Application Gateway in deDiagnostieksectie. U moet er ook voor zorgen dat het WAF-logboek is geselecteerd en ingeschakeld. De firewall voor webtoepassingen blokkeert geen inkomende verzoeken wanneer deze in de detectiemodus werkt.
  • Preventie modus: Blokkeert inbraken en aanvallen die door de regels worden gedetecteerd. De aanvaller ontvangt een uitzondering "403 ongeautoriseerde toegang" en de verbinding wordt verbroken. De preventiemodus registreert dergelijke aanvallen in de WAF-logboeken.

Opmerking

Het wordt aanbevolen om een ​​nieuw geïmplementeerde WAF gedurende een korte periode in de detectiemodus uit te voeren in een productieomgeving. Dit biedt de mogelijkheid om te verkrijgenfirewall-logboekenen update eventuele uitzonderingen ofaangepaste regelsvoorafgaand aan de overgang naar de Preventiemodus. Dit kan het voorkomen van onverwacht geblokkeerd verkeer helpen verminderen.

WAF-motoren

De Azure Web Application Firewall (WAF)-engine is het onderdeel dat verkeer inspecteert en bepaalt of een aanvraag een handtekening bevat die een mogelijke aanval vertegenwoordigt. Wanneer u CRS 3.2 of later gebruikt, voert uw WAF het nieuweWAF-motor, waardoor u betere prestaties en een verbeterde reeks functies krijgt. Wanneer u eerdere versies van het CRS gebruikt, draait uw WAF op een oudere engine. Nieuwe functies zijn alleen beschikbaar op de nieuwe Azure WAF-engine.

WAF-acties

WAF-klanten kunnen kiezen welke actie wordt uitgevoerd wanneer een verzoek overeenkomt met de voorwaarden van een regel. Hieronder vindt u de lijst met ondersteunde acties.

  • Toestaan: Verzoek passeert de WAF en wordt doorgestuurd naar back-end. Er zijn geen verdere regels met een lagere prioriteit die dit verzoek kunnen blokkeren. Acties toestaan ​​zijn alleen van toepassing op de Bot Manager-regelset en zijn niet van toepassing op de kernregelset.
  • Blokkeren: het verzoek wordt geblokkeerd en WAF stuurt een antwoord naar de client zonder het verzoek door te sturen naar de back-end.
  • Logboek: Verzoek wordt vastgelegd in de WAF-logboeken en WAF gaat door met het evalueren van regels met een lagere prioriteit.
  • Anomaliescore: Dit is de standaardactie voor de CRS-regelset waarbij de totale anomaliescore wordt verhoogd wanneer een regel met deze actie overeenkomt. Anomaliescores zijn niet van toepassing op de regelset van Bot Manager.

Anomalie Scoring-modus

OWASP heeft twee modi om te beslissen of verkeer moet worden geblokkeerd: Traditionele modus en Anomaly Scoring-modus.

In de traditionele modus wordt verkeer dat overeenkomt met een regel onafhankelijk beschouwd van andere regelovereenkomsten. Deze modus is gemakkelijk te begrijpen. Maar het gebrek aan informatie over hoeveel regels overeenkomen met een specifiek verzoek is een beperking. Dus werd de Anomaly Scoring-modus geïntroduceerd. Dit is de standaardinstelling voor OWASP 3.X.

In de Anomaly Scoring-modus wordt verkeer dat overeenkomt met een regel niet onmiddellijk geblokkeerd wanneer de firewall in de Preventiemodus staat. Regels hebben een zekere strengheid:kritisch,Fout,Waarschuwing, ofKennisgeving. Die ernst is van invloed op een numerieke waarde voor de aanvraag, die de anomaliescore wordt genoemd. Bijvoorbeeld eenWaarschuwingregel match draagt ​​3 bij aan de score. Eenkritischregelovereenkomst draagt ​​bij 5.

ErnstWaarde
kritisch5
Fout4
Waarschuwing3
Kennisgeving2

Er is een drempelwaarde van 5 voor de Anomaly Score om verkeer te blokkeren. Een enkele duskritischRegelovereenkomst is voldoende voor de Application Gateway WAF om een ​​aanvraag te blokkeren, zelfs in de preventiemodus. Maar eenWaarschuwingRegelovereenkomst verhoogt alleen de Anomaly Score met 3, wat op zich niet genoeg is om het verkeer te blokkeren.

Opmerking

Het bericht dat wordt vastgelegd wanneer een WAF-regel overeenkomt met verkeer, bevat de actiewaarde 'Overeenkomend'. Als de totale afwijkingsscore van alle overeenkomende regels 5 of hoger is en het WAF-beleid wordt uitgevoerd in de preventiemodus, activeert de aanvraag een verplichte afwijkingsregel met de actiewaarde "Geblokkeerd" en wordt de aanvraag gestopt. Als het WAF-beleid echter in de detectiemodus wordt uitgevoerd, activeert het verzoek de actiewaarde 'Gedetecteerd' en wordt het verzoek geregistreerd en doorgegeven aan de backend. Voor meer informatie, zieProblemen met Web Application Firewall (WAF) voor Azure Application Gateway oplossen.

Configuratie

U kunt alle WAF-beleidsregels configureren en implementeren met behulp van de Azure-portal, REST API's, Azure Resource Manager-sjablonen en Azure PowerShell. U kunt Azure WAF-beleid ook op schaal configureren en beheren met behulp van Firewall Manager-integratie (preview). Voor meer informatie, zieAzure Firewall Manager gebruiken om Firewall-beleid voor webtoepassingen te beheren (preview).

WAF-bewaking

Het bewaken van de status van uw toepassingsgateway is belangrijk. Het bewaken van de status van uw WAF en de toepassingen die deze beveiligt, wordt ondersteund door integratie met Microsoft Defender voor Cloud, Azure Monitor en Azure Monitor-logboeken.

Wat is Azure Web Application Firewall op Azure Application Gateway? - Azure-webtoepassingsfirewall (4)

Azure-monitor

Application Gateway-logboeken zijn geïntegreerd metAzure-monitor. Hiermee kunt u diagnostische informatie volgen, waaronder WAF-waarschuwingen en logboeken. U hebt toegang tot deze mogelijkheid op deDiagnostiektabblad in de Application Gateway-resource in de portal of rechtstreeks via Azure Monitor. Zie voor meer informatie over het inschakelen van logboekenDiagnostische gegevens van Application Gateway.

Microsoft Defender voor de cloud

Verdediger voor Cloudhelpt u bedreigingen te voorkomen, op te sporen en erop te reageren. Het biedt meer inzicht in en controle over de beveiliging van uw Azure-resources. Toepassingsgateway isgeïntegreerd met Defender voor Cloud. Defender for Cloud scant uw omgeving om onbeveiligde webapplicaties te detecteren. Het kan Application Gateway WAF aanbevelen om deze kwetsbare bronnen te beschermen. U maakt de firewalls rechtstreeks vanuit Defender for Cloud. Deze WAF-instanties zijn geïntegreerd met Defender for Cloud. Ze sturen waarschuwingen en gezondheidsinformatie naar Defender for Cloud voor rapportage.

Wat is Azure Web Application Firewall op Azure Application Gateway? - Azure-webtoepassingsfirewall (5)

Microsoft Sentinel

Microsoft Sentinel is een schaalbare, cloud-native, security information event management (SIEM) en security orchestration automated response (SOAR) oplossing. Microsoft Sentinel levert intelligente beveiligingsanalyses en informatie over bedreigingen in de hele onderneming en biedt één enkele oplossing voor waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve jacht en reactie op bedreigingen.

Met de ingebouwde werkmap voor Azure WAF-firewallgebeurtenissen kunt u een overzicht krijgen van de beveiligingsgebeurtenissen op uw WAF. Dit omvat gebeurtenissen, overeenkomende en geblokkeerde regels en al het andere dat wordt vastgelegd in de logboeken van de firewall. Zie hieronder meer over inloggen.

Wat is Azure Web Application Firewall op Azure Application Gateway? - Azure-webtoepassingsfirewall (6)

Azure Monitor-werkmap voor WAF

Deze werkmap maakt aangepaste visualisatie mogelijk van beveiligingsrelevante WAF-gebeurtenissen in verschillende filterbare panelen. Het werkt met alle WAF-typen, inclusief Application Gateway, Front Door en CDN, en kan worden gefilterd op basis van WAF-type of een specifiek WAF-exemplaar. Importeer via ARM-sjabloon of galerijsjabloon. Zie voor het implementeren van deze werkmapWAF-werkboek.

Loggen

Application Gateway WAF biedt gedetailleerde rapportage over elke bedreiging die wordt gedetecteerd. Logboekregistratie is geïntegreerd met Azure Diagnostics-logboeken. Alerts worden opgenomen in de .json-indeling. Deze logboeken kunnen worden geïntegreerd metAzure Monitor-logboeken.

Wat is Azure Web Application Firewall op Azure Application Gateway? - Azure-webtoepassingsfirewall (7)

{ "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}", "operationName": "ApplicationGatewayFirewall", "time": "2017-03-20T15 :52:09.1494499Z", "category": "ApplicationGatewayFirewallLog", "properties": { { "instanceId": "ApplicationGatewayRole_IN_0", "clientIp": "52.161.109.145", "clientPort": "0", "requestUri" : "/", "ruleSetType": "OWASP", "ruleSetVersion": "3.0", "ruleId": "920350", "ruleGroup": "920-PROTOCOL-ENFORCEMENT", "message": "Host-header is een numeriek IP-adres", "action": "Overeenkomend", "site": "Global", "details": { "message": "Warning. Pattern match \"^[\\\\d.:]+$\ " at REQUEST_HEADERS:Host ....", "data": "127.0.0.1", "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf", "line": "791" }, "hostnaam ": "127.0.0.1", "transactionId": "16861477007022634343" "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewall Policies/globalWafPolicy", "policyScope ": "Globaal", "policyScopeName": "Globaal " } }}

Application Gateway WAF SKU-prijzen

De prijsmodellen zijn verschillend voor de WAF_v1- en WAF_v2-SKU's. Zie deApplication Gateway-prijzenpagina voor meer informatie.

Wat is er nieuw

Zie voor meer informatie over wat er nieuw is met Azure Web Application FirewallAzure-updates.

Volgende stappen

  • Leer meer overDoor WAF beheerde regels
  • Leer meer overAangepaste regels
  • Leren overFirewall voor webtoepassingen op Azure Front Door
  • Meer informatie over Azure-netwerkbeveiliging
Top Articles
Latest Posts
Article information

Author: Fr. Dewey Fisher

Last Updated: 06/01/2023

Views: 5269

Rating: 4.1 / 5 (62 voted)

Reviews: 85% of readers found this page helpful

Author information

Name: Fr. Dewey Fisher

Birthday: 1993-03-26

Address: 917 Hyun Views, Rogahnmouth, KY 91013-8827

Phone: +5938540192553

Job: Administration Developer

Hobby: Embroidery, Horseback riding, Juggling, Urban exploration, Skiing, Cycling, Handball

Introduction: My name is Fr. Dewey Fisher, I am a powerful, open, faithful, combative, spotless, faithful, fair person who loves writing and wants to share my knowledge and understanding with you.