Este artigo responde a perguntas comuns sobre recursos e funcionalidades do Firewall de Aplicativo Web do Azure na Porta da Frente do Azure.
O que é o Azure Web Application Firewall?
O Azure Web Application Firewall é um firewall de aplicativo Web (WAF) que ajuda a proteger seus aplicativos Web contra ameaças comuns, como injeção de SQL, scripts entre sites e outras explorações da Web. Você pode definir uma política WAF que consiste em uma combinação de regras personalizadas e gerenciadas para controlar o acesso aos seus aplicativos Web.
Você pode aplicar uma política WAF a aplicativos Web hospedados no Azure Application Gateway ou no Azure Front Door.
O que é o Azure Web Application Firewall no Azure Front Door?
O Azure Front Door é uma rede de entrega de aplicativos e conteúdo altamente escalável e distribuída globalmente. O Firewall de Aplicativo Web do Azure, quando integrado ao Azure Front Door, interrompe ataques de negação de serviço e aplicativos direcionados na borda da rede do Azure (perto de fontes de ataque) antes que eles entrem em sua rede virtual. Esta combinação oferece proteção sem sacrificar o desempenho.
O Azure Web Application Firewall suporta HTTPS?
O Azure Front Door oferece descarregamento de TLS (Transport Layer Security). O Firewall de Aplicativo Web do Azure é integrado nativamente ao Azure Front Door e pode inspecionar uma solicitação depois que ela for descriptografada.
O Azure Web Application Firewall suporta IPv6?
Sim. Você pode configurar a restrição de IP para IPv4 e IPv6. Para obter mais informações, consulte a postagem do blog sobre a adoção do IPv6 para aprimorar o Firewall de Aplicativo Web do Azure na Porta da Frente do Azure.
Quão atualizados são os conjuntos de regras gerenciadas?
Fazemos o nosso melhor para acompanhar as mudanças no cenário de ameaças. Quando atualizamos uma regra, adicionamo-la ao Conjunto de Regras Padrão (DRS) com um novo número de versão.
Qual é o tempo de propagação se eu fizer uma alteração na minha política WAF?
A maioria das implantações de políticas do WAF termina em menos de 20 minutos. Você pode esperar que a política entre em vigor assim que a atualização for concluída em todos os pontos de presença globalmente.
As políticas do WAF podem ser diferentes para diferentes regiões?
Quando o Azure Web Application Firewall é integrado ao Azure Front Door, o WAF é um recurso global. A mesma configuração se aplica a todas as regiões do Azure Front Door.
Como faço para garantir que apenas o Azure Front Door possa acessar o back-end na minha rede?
Você pode configurar uma lista de controle de acesso IP em seu back-end para permitir apenas intervalos de endereços IP de saída do Azure Front Door usando uma marca de serviço do Azure Front Door e negar qualquer acesso direto da Internet. As etiquetas de serviço são suportadas para a sua rede virtual. Além disso, você pode verificar se o X-Forwarded-Host campo de cabeçalho HTTP é válido para seu aplicativo Web.
Que opções WAF devo escolher?
Há duas opções para aplicar políticas WAF no Azure. O Azure Web Application Firewall on Azure Front Door é uma solução de segurança de borda distribuída globalmente. O Azure Web Application Firewall on Application Gateway é uma solução regional dedicada. Recomendamos que escolha uma solução com base nos seus requisitos gerais de desempenho e segurança. Para obter mais informações, consulte Opções de balanceamento de carga.
Qual é a abordagem recomendada para habilitar um WAF no Azure Front Door?
Quando você habilita o WAF em um aplicativo existente, é comum ter deteções de falsos positivos nas quais as regras do WAF detetam tráfego legítimo como uma ameaça. Para minimizar o risco de impacto para seus usuários, recomendamos o seguinte processo:
Habilite o WAF no modo de deteção para garantir que o WAF não bloqueie solicitações enquanto você estiver trabalhando nesse processo. Recomendamos este passo com fins de teste no WAF.
Importante
Esse processo descreve como habilitar o WAF em uma solução nova ou existente quando sua prioridade é minimizar a perturbação para os usuários do seu aplicativo. Se você estiver sob ataque ou ameaça iminente, convém implantar o WAF no modo de prevenção imediatamente. Em seguida, você pode usar o processo de ajuste para monitorar e ajustar o WAF ao longo do tempo. Essa abordagem provavelmente fará com que parte do seu tráfego legítimo seja bloqueado, e é por isso que recomendamos usá-lo apenas quando você estiver sob ameaça.
Siga as orientações para ajustar o WAF. Esse processo requer que você habilite o log de diagnóstico, revise os logs regularmente e adicione exclusões de regras e outras atenuações.
Repita todo este processo e verifique os registos regularmente, até ter a certeza de que nenhum tráfego legítimo está a ser bloqueado. Todo o processo pode levar várias semanas. Idealmente, você verá menos deteções de falsos positivos após cada alteração de ajuste feita.
Finalmente, habilite o WAF no modo de prevenção.
Mesmo depois de executar o WAF em produção, você deve continuar monitorando os logs para identificar quaisquer outras deteções de falsos positivos. A revisão regular dos logs também ajuda a identificar quaisquer tentativas reais de ataque que foram bloqueadas.
Você suporta os mesmos recursos WAF em todas as plataformas integradas?
Atualmente, as regras do Conjunto de Regras Principais (CRS) 3.0, CRS 3.1 e CRS 3.2 são suportadas apenas com o Firewall de Aplicativo Web do Azure no Gateway de Aplicativo. A limitação de taxa de transferência e as regras DRS geridas pelo Azure são suportadas apenas com o Firewall de Aplicações Web do Azure no Azure Front Door.
A proteção contra DDoS está integrada com o Azure Front Door?
O Azure Front Door é distribuído globalmente nas bordas da rede do Azure. Ele pode absorver e isolar geograficamente ataques de grande volume. Você pode criar uma política WAF personalizada para bloquear e classificar automaticamente os ataques HTTP e HTTPS que tenham assinaturas conhecidas. Você também pode habilitar a proteção de rede de negação de serviço distribuída (DDoS) na rede virtual onde seus back-ends são implantados.
Os clientes do serviço de Proteção contra DDoS do Azure recebem benefícios adicionais, incluindo proteção de custos, garantia de contrato de nível de serviço (SLA) e acesso a especialistas da Equipe de Resposta Rápida contra DDoS para obter ajuda imediata durante um ataque. Para obter mais informações, consulte Proteção contra DDoS na porta frontal do Azure.
Por que solicitações adicionais acima do limite configurado para minha regra de limite de taxa são passadas para meu servidor back-end?
Você pode não ver solicitações imediatamente bloqueadas pelo limite de taxa quando diferentes servidores do Azure Front Door processam solicitações. Para obter mais informações, consulte Limites de taxa e Servidores Azure Front Door.
Que tipos de conteúdo são suportados pelo WAF?
O WAF do Azure Front Door dá suporte aos seguintes tipos de conteúdo:
DRS 2,0
Regras gerenciadas:
application/jsonapplication/xmlapplication/x-www-form-urlencodedmultipart/form-data
Regras personalizadas:
application/x-www-form-urlencoded
DRS 1,x
Regras gerenciadas:
application/x-www-form-urlencodedtext/plain
Regras personalizadas:
application/x-www-form-urlencoded
Observação
O Azure Front Door WAF não suporta codificação de conteúdo. Isto significa que os corpos comprimidos não serão descomprimidos antes de serem enviados para o motor WAF.
Posso aplicar uma política WAF do Azure Front Door a hosts front-end em perfis Premium do Azure Front Door que pertencem a diferentes assinaturas?
Não, não podes. O perfil do Azure Front Door e a política WAF precisam estar na mesma assinatura.