什么是 Azure 应用程序网关上的 Azure Web 应用程序

小提示：您能找到这篇{什么是 Azure 应用程序网关上的 Azure Web 应用程序}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的什么是 Azure 应用程序网关上的 Azure Web 应用程序内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">Azure应用程序网关提供的Azure Web应用程序防火墙(WAF)可以对Web应用程序进行集中保护，避免其受到常见的攻击和漏洞伤害。Web应用程序已逐渐成为利用常见已知漏洞的恶意攻击的目标。SQL注入和跨站点脚本是最常见的攻击。

< ">应用程序网关上的WAF基于开放Web应用程序安全项目(OWASP客户新闻发布)中的核心规则集(CRS)3.1、3.0或2.2.9。WAF会自动更新以包含针对新漏洞的保护，而无需其他配置。

< ">下面列出了WAF策略中存在的所有WAF功能。可以创建多个策略，并可将它们与应用程序网关或应用程序网关上的单个侦听器或基于路径的路由规则相关联。这样，如果需要，你可以为应用程序网关后面的每个站点提供单独的策略。有关WAF策略的详细信息，请参阅创建WAF策略。

< ">应用程序网关作为应用程序传送控制器(ADC)运行。它提供了传输层安全性(TLS)（以前称为安全套接字层(SSL)）、终止、基于Cookie的会话相关性、轮循负载分发、基于内容的路由、托管多个网站的功能，以及安全增强功能。

< ">应用程序网关安全增强功能包括TLS策略管理和端到端TLS支持。将WAF集成到应用程序网关，从而增强了应用程序的安全性。此集成可以保护Web应用程序免受常见漏洞的侵害。它还提供了易于配置的中央位置来进行管理。

< ">优点

< ">本部分介绍WAF应用程序网关上WAF提供的核心优势。

< ">保护

< ">无需修改后端代码即可保护Web应用程序免受Web漏洞和攻击的威胁。

< ">同时保护多个Web应用程序。应用程序网关的实例最多可以托管40个受Web应用程序防火墙保护的网站。

< ">为同一WAF后面的不同站点创建自定义WAF策略

< ">利用IP信誉规则集保护Web应用程序免受恶意机器人的攻击（预览版）

< ">监视

< ">使用实时WAF日志监视Web应用程序受到的攻击。此日志与Azure Monitor相集成，让你可以跟踪WAF警报并轻松监视趋势。

< ">应用程序网关WAF已与Azure安全中心集成。安全中心可集中查看所有Azure资源的安全状态。

< ">自定义

< ">根据应用程序的要求自定义WAF规则和规则组，并消除误报。

< ">为WAF后面的每个站点关联WAF策略，以允许进行特定于站点的配置

< ">根据应用程序的需求创建自定义规则

< ">功能

< ">SQL注入保护。

< ">跨站点脚本保护。

< ">其他常见Web攻击防护，例如命令注入、HTTP请求走私、HTTP响应拆分和远程文件包含。

< ">防止HTTP协议违反行为的保护。

< ">防止HTTP协议异常行为（例如缺少主机用户代理和接受标头）的保护。

< ">防范爬网程序和扫描程序。

< ">检测常见应用程序错误配置（例如Apache和IIS等）。

< ">具有下限和上限的可配置请求大小限制。

< ">排除列表允许你忽略WAF评估中的某些请求属性。常见示例是Active Directory插入的令牌，这些令牌用于身份验证或密码字段。

< ">根据应用程序的具体需求创建自定义规则。

< ">按地理位置筛选流量，以允许或阻止从特定的国家/地区访问你的应用程序。（预览版）

< ">使用机器人缓解规则集防范应用程序遭到机器人攻击。（预览版）

< ">检查请求正文中的JSON和XML

< ">WAF策略和规则

< ">若要在应用程序网关上启用Web应用程序防火墙，必须创建WAF策略。此策略是指存在所有托管规则、自定义规则、排除项和其他自定义项（如文件上传限制）的位置。

< ">可以配置一个WAF策略，然后将该策略与一个或多个应用程序网关相关联，以提供保护。WAF策略包含两种类型的安全规则：

< ">你创建的自定义规则

< ">托管规则集，即由Azure托管的预配置规则集的集合

< ">如果两者均存在，则先处理自定义规则，然后处理托管规则集中的规则。规则由匹配条件、优先级和操作组成。支持的操作类型包括：ALLOW、BLOCK和LOG。可以组合托管规则和自定义规则以创建满足特定应用程序保护要求的完全自定义策略。

< ">策略中的规则按优先顺序进行处理。“优先级”是唯一的整数，定义规则的处理顺序。整数值越小表示优先级越高，这些规则的评估顺序先于整数值较大的规则。匹配规则后，规则中定义的相应操作将应用于请求。处理此类匹配后，不再进一步处理优先级较低的规则。

< ">由应用程序网关提供的Web应用，可以在全局级别、每个站点级别或每个URI级别与WAF策略关联。

< ">核心规则集

< ">应用程序网关支持三个规则集：CRS 3.1、CRS 3.0和CRS 2.2.9。这些规则保护Web应用程序免受恶意活动的攻击。

< ">有关详细信息，请参阅Web应用程序防火墙CRS规则组和规则。

< ">自定义规则

< ">应用程序网关也支持自定义规则。使用自定义规则，可以创建自己的规则，将针对通过WAF传递的每个请求评估这些规则。这些规则的优先级高于托管规则集中的其余规则。如果满足一组条件，则执行操作以进行允许或阻止。

< ">自定义规则的geomatch运算符现以公共预览版提供。有关详细信息，请参阅geomatch自定义规则。

< ">备注

< ">自定义规则的geomatch运算符当前为公共预览版，并提供预览版服务级别协议。某些功能可能不受支持或者受限。怎么样新闻发布有关详细信息，请参阅Microsoft Azure预览版补充使用条款。

< ">有关自定义规则的详细信息，请参阅应用程序网关的自定义规则。

< ">机器人缓解（预览版）

< ">可以为WAF启用托管机器人防护规则集，以便阻止或记录来自已知恶意IP地址的请求以及托管规则集。IP地址源自Microsoft威胁智能源。Intelligent Security Graph为Microsoft威胁智能助力，它已得到Azure Security Center等多项服务的运用。

< ">备注

< ">机器人防护规则集当前为公共预览版，并提供预览版服务级别协议。某些功能可能不受支持或者受限。有关详细信息，请参阅Microsoft Azure预览版补充使用条款。

< ">如果启用了机器人防护，则与恶意机器人的客户端IP匹配的传入请求将记录在防火墙日志中。有关详细信息，请参阅下文。可以从存储帐户、事件中心或日志分析访问WAF日志。

< ">WAF模式

< ">应用程序网关WAF可配置为在以下两种模式中运行：

< ">检测模式：监视和记录所有威胁警报。在“诊断”部分打开应用程序网关的日志记录诊断。还必须确保已选择并打开WAF日志。在检测模式下运行时，Web应用程序防火墙不会阻止传入的请求。

< ">阻止模式：阻止规则检测到的入侵和攻击。攻击者会收到“403未授权访问”异常，且连接会结束。阻止模式会在WAF日志中记录此类攻击。

< ">备注

< ">建议在生产环境中的短时间内，在检测模式下运行新部署的WAF。这样，在转换为阻止模式之前，便有机会获取防火墙日志并更新任何异常或自定义规则。这有助于减少意外阻止流量的发生次数。

< ">异常评分模式

< ">OWASP有两种模式，用于决定是否阻止流量：传统模式和异常评分模式。

< ">在传统模式下，与任何规则匹配的流量被视为独立于任何其他规则匹配。此模式易于理解。但其局限在于，未提供相关信息以表明与特定请求匹配的规则数。因此，引入了异常评分模式。这是OWASP 3.x的默认模式。

< ">在异常评分模式下，当防火墙处于阻止模式时，不会立即阻止与任何规则匹配的流量。规则具有一定的严重性：“严重”、“错误”、“警告”或“通知”。此严重性会影响请求的数值，该数值称为异常分数。例如，一个“警告”规则匹配对应的分数为3。一个“严重”规则匹配对应的分数为5。

< ">异常分数的阈值为5，用于阻止流量。因此，单个“严重”规则匹配足以让应用程序网关WAF阻止请求，即使在阻止模式下也是如此。但一个“警告”规则匹配仅使异常分数增加3，而这并不足以阻止流量。

< ">备注

< ">WAF规则匹配流量时记录的消息包括操作值“已阻止”。但实际上只会在异常分数为5或更高时阻止流量。有关详细信息，请参阅排查Azure应用程序网关的Web应用程序防火墙(WAF)问题。

< ">WAF监视

< ">监视应用程序网关的运行状况非常重要。通过与Azure安全中心、Azure Monitor和Azure Monitor日志相集成，可以监视Web应及其保护的应用程序的运行状况。

< ">Azure Monitor

< ">应用程序网关日志与Azure Monitor相集成。这样，便可以跟踪包括WAF警报和日志在内的诊断信息。可以在门户中应用程序网关资源的“诊断”选项卡上访问此功能，也可以通过Azure Monitor直接访问此功能。若要详细了解如何启用日志，请参阅应用程序网关诊断。

< ">Azure安全中心

< ">安全中心可帮助防范、检测和应对威胁。它可提高对Azure资源安全性的可见性和控制力度。应用程序网关已与安全中心集成。安全中心会扫描环境以检测未受保护的Web应用程序。它可以建议应用程序网关WAF保护这些易受攻击的资源。直接从安全中心创建防火墙。这些WAF实例已与安全中心集成。他们将警报和运行状况信息发送到安全中心以进行报告。

< ">Azure Sentinel

< ">Microsoft Azure Sentinel是可缩放的云原生安全信息事件管理(SIEM)和安全业务流程自动响应(SOAR)解决方案。Azure Sentinel在整个企业范围内提供智能安全分析和威胁智能，为警报检测精准营销网络、威胁可见性、主动搜寻和威胁响应提供单一解决方案。

< ">使用内置的Azure WAF防火墙事件工作簿可以大致了解WAF中的安全事件。这包括事件、匹配和阻止的规则，以及在防火墙日志中记录的其他所有内容。参阅下面有关日志记录的详细信息。

< ">用于WAF的Azure Monitor工作簿

< ">此工作簿支持跨多个可筛选面板自定义与安全相关WAF事件的可视化。它适用于所有WAF类型，包括应用程序网关、Front Door和CDN，并且可以根据WAF类型或特定WAF实例进行筛选。通过ARM模板或库模板导入。若要部署此工作簿，请参阅WAF工作簿。

< ">日志记录

< ">应用程序网关WAF提供有关检测到的每个威胁的详细报告。日志记录已与Azure诊断日志集成。警报以json格式记录。这些日志可与Azure Monitor日志集成。

< ">JSON

< ">{

< ">"resourceId":"/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",

< ">"operationName":"ApplicationGatewayFirewall",

< ">"time":"2017-03-20T15:52:09.1494499Z",

< ">"category":"ApplicationGatewayFirewallLog",

< ">"properties":{

< ">{

< ">"instanceId":"ApplicationGatewayRole_IN_0",

< ">"clientIp":"52.161.109.145",

< ">"clientPort":"0",

< ">"requestUri":"/",

< ">"ruleSetType":"OWASP",

< ">"ruleSetVersion":"3.0",

< ">"ruleId":"920350",

< ">"ruleGroup":"920-PROTOCOL-ENFORCEMENT",

< ">"message":"Host header is a numeric IP address",

< ">"action":"Matched",

< ">"site":"Global",

< ">"details":{

< ">"message":"Warning.Pattern match"^[\d.:]+$"at REQUEST_HEADERS:Host....",

< ">"data":"127.0.0.1",

< ">"file":"rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",

< ">"line":"791"

< ">},

< ">"hostname":"127.0.0.1",

< ">"transactionId":"16861477007022634343"

< ">"policyId":"/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",

< ">"policyScope":"Global",

< ">"policyScopeName":"Global"

< ">}

< ">}

< ">}

< ">应用程序网关WAF SKU定价

< ">WAF_v1和WAF_v2 SKU的定价模型不同。有关详细信息，请参阅应用程序网关定价页。