【简介】
我们都知道像 SQL 注入、跨站点脚本攻击(XSS)之类的恶意攻击以及 OWASP 发现的十大威胁都可能会导致服务中断或数据丢失,让 Web 应用程序所有者受到巨大威胁。那么如何有效的解决OWASP TOP10中的Web威胁呢?我们在本篇中将会给大家介绍到如何利用Azure Front Door 的 Web 应用程序防火墙来对常见的WEB威胁进行防御,Azure Front Door 上的 WAF 是一个全球性的集中式解决方案。 它部署在全球各地的 Azure 网络边缘位置。 启用了 WAF 的 Web 应用程序会检查 Front Door 在网络边缘传送的每个传入请求,在恶意攻击进入虚拟网络之前,WAF 会阻止这些攻击靠近攻击源。 WAF 策略可轻松链接到订阅中的任何 Front Door 配置文件。 在几分钟内就能部署新的规则,可快速响应不断变化的威胁模式,保持服务的可用性以及帮助我们满足符合性要求。
【前期文章】
【Microsoft Azure 的1024种玩法】一.一分钟快速上手搭建宝塔管理面板
【Microsoft Azure 的1024种玩法】二.基于Azure云平台的安全攻防靶场系统构建
【Microsoft Azure 的1024种玩法】三.基于Azure云平台构建Discuz论坛
【Microsoft Azure 的1024种玩法】四. 利用Azure Virtual machines 打造个人专属云盘,速度吊打某云盘
【Microsoft Azure 的1024种玩法】五.基于Azure Cloud Shell 一站式创建Linux VM
【Microsoft Azure 的1024种玩法】六.使用Azure Cloud Shell对Linux VirtualMachines 进行生命周期管理
【Microsoft Azure 的1024种玩法】七.Azure云端搭建部署属于自己的维基百科
【Microsoft Azure 的1024种玩法】八. 基于Azure云端轻松打造一款好用的私有云笔记
【Microsoft Azure 的1024种玩法】九. Microsoft Azure云端轻松构建部署PostgreSQL数据库
【Microsoft Azure 的1024种玩法】十. 基于Azure App Service 快速上手部署 ASP.NET Web 应用
【Microsoft Azure 的1024种玩法】十一.手动对Azure磁盘进行IOPS性能压力测试
【Microsoft Azure 的1024种玩法】十二. 使用Auzre cloud 安装搭建docker+vulhub靶场
【Microsoft Azure 的1024种玩法】十三.Azure cloud|带你快速搭建DVWA靶场漏洞环境
【Microsoft Azure 的1024种玩法】十四.Azure DNS 在线域名委托解析操作指南
【Microsoft Azure 的1024种玩法】十五.通过Web浏览器对Auzre VM 服务器运维管理
【Microsoft Azure 的1024种玩法】十六.Cobaltstrike内网渗透工具在Azure Cloud中的部署使用
【Microsoft Azure 的1024种玩法】 十七.在Microsoft Azure上动手搭建专属私有文件同步服务]
【Microsoft Azure 的1024种玩法】 十八.快速创建Microsoft Azure SQL数据库初体验
【Microsoft Azure 的1024种玩法】 十九.使用Azure备份服务对虚拟机快速备份
【Microsoft Azure 的1024种玩法】 二十.Azure Multi-Factor Authentication多因素验证最佳实战
【Microsoft Azure 的1024种玩法】 二十一.利用Azure Blob Service 快速实现静态网站托管
【Microsoft Azure 的1024种玩法】 二十二.中国区Azure Cloud 多重身份验证最佳实践
【Microsoft Azure 的1024种玩法】 二十三.快速上手Azure Content Delivery Network 内容分发网络
【Microsoft Azure 的1024种玩法】二十四.通过Azure Front Door 的 Web 应用程序防火墙来对 OWASP TOP 10 威胁进行防御
【操作步骤】
一.开通创建Azure Front Door 上的 Azure Web WAF
1.在Azure门户中搜索“Web应用程序防火墙策略”
2.点击“创建”进行创建WAF策略
在创建的时候,需要对如下项目详细信息以及实例详细信息进行配置,(PS:以自己实际的场景配置为准)
1)项目详细信息
- 策略:要去使用WAF 策略保护的资源类型(包含两种:全局WAF和区域WAF)
- Front Door层: WAF 本身已与具有完整功能的 Front Door 高级版集成。(WAF版本包含高级、标准)
- 订阅:Azure 订阅向我们授予 Azure服务的访问权限。
- 资源组:用于管理WAF资源的资源组
2)实例详细信息
- 策略名称:用于定义WAF 策略的唯一名称。
- 资源组区域 :用于存放与 WAF 策略关联的元数据,必须为资源组指定一个位置。
- 策略状态:分为两种策略状态,主要用于启用或禁用 WAF 策略。如果禁用,WAF 策略将不会应用于任何网站。
- 策略模式:分为两种策略模式,一种为"检测模式"(监视所有威胁警报并将其记录到日志文件),一种为"保护模式"(请求匹配某条规则,则保护模式会采取相应的 WAF 操作)
3.配置托管规则
通过配置托管规则来帮助 Web 应用程序抵御(OWASP)类别中定义的TOP10常见威胁,默认在预配置的规则集中是处于启用的状态,Azure 托管的默认规则集包含针对以下威胁类别的规则:
- 跨站点脚本
- Java 攻击
- 本地文件包含
- PHP 注入攻击
- 远程命令执行
- 远程文件包含
- 会话固定
- SQL 注入保护
- 协议攻击者
4.配置WAF策略
我们借助 Web 应用程序防火墙(WAF)策略,来对Web应用进行安全防护控制, WAF 策略通常包含两种类型的安全规则:
-
客户创作的自定义规则:匹配规则后,将对请求应用在该规则中定义的相应操作。处理此匹配后,不会进一步处理优先级更低的规则。规则的整数值越小,则优先级越高。
-
托管规则集:Azure 托管的预配置规则设置的集合。
5.关联主机:主要将该配置的WAF策略与一个或多个 Front Door 前端主机关联,如下图所示 ,我们可以将创建的策略与前端主机关联起来
6.标记:通过将相同的标记应用到多个资源和资源组可以对资源进行分类并查看合并的帐单。
7.验证创建WAF策略
如下图所示,WAF策略正在进行部署中
部署完毕后,我们可以直接点击“转到资源”进行查看
通过查看当前WAF策略发现当前处于启用的状态
二.关联相关 Front Door 前端主机
1.我们通过在WAF管理控制页面中,选择要关联的Front Door 前端主机
2.按照下图步骤所示,将要防护的前端主机添加到WAF策略中
三. 配置自定义规则
1.添加配置自定义规则,来进行安全策略防护,如下是添加自定义规则的选项描述
自定义规则名称:是指配置自定义规则的命名规范
状态:是指当前的规则是启用还是禁用
规则类型:规则类型有两种,一种为:匹配规则(基于匹配条件控制访问权限),一种为:速率限制规则(速率限制规则则根据匹配条件和传入请求的速率控制访问权限)
优先级:主要是为规则分配唯一编号,以指定该规则相对于其他自定义规则的处理顺序,最佳做法是以 100 为增量分配数字,以便在必要时轻松重新排列规则优先级。
条件:基于匹配上的规则做相对应的操作策略,具体可分为
①允许 (WAF 允许请求处理、在 WAF 日志中记录一个条目并退出)
②阻止 (请求被阻止。 WAF 将响应发送到客户端,而不进一步转发请求,WAF 在 WAF 日志中记录一个条目然后退出)
③记录 (WAF 在 WAF 日志中记录一个条目,并继续按优先级顺序计算下一个规则)
④重定向 (WAF 将请求重定向到指定的 URI,并在 WAF 日志中记录一个条目,然后退出)