WAF (Firewall de Aplicativo Web) no Azure Front Door

O WAF (Firewall do aplicativo Web) do Azure no Azure Front Door fornece proteção centralizada para seus aplicativos Web. O WAF defende seus serviços Web contra explorações e vulnerabilidades comuns. Ele mantém seu serviço altamente disponível para seus usuários e ajuda você a atender aos requisitos de conformidade. Neste artigo, você aprende sobre os diferentes recursos do Firewall de Aplicativo Web do Azure no Azure Front Door. Para obter mais informações, confira WAF no Azure Front Door.

Diagrama do Firewall de Aplicativo Web aplicado a um ambiente do Azure Front Door.

Configurações de política

Uma política do WAF (Firewall de Aplicativo Web) permite que você controle o acesso aos aplicativos Web usando um conjunto de regras personalizadas e gerenciadas. Você pode alterar o estado da política ou configurar um tipo de modo específico para ela. Dependendo das configurações de nível de política, você pode optar por inspecionar ativamente as solicitações de entrada, por somente monitorar ou por monitorar e adotar ações em relação a solicitações que correspondem a uma regra. Você também pode configurar o WAF para somente detectar ameaças sem bloqueá-las, o que é útil quando o WAF é habilitado pela primeira vez. Depois de avaliar como o WAF funciona com o aplicativo, você poderá redefinir as configurações do WAF e habilitar o WAF no modo de prevenção. Para obter mais informações, confira Configurações de política do WAF.

Regras gerenciadas

O WAF (firewall do aplicativo Web) do Azure Front Door protege os aplicativos Web contra vulnerabilidades e explorações comuns. Os conjuntos de regras gerenciados pelo Azure oferecem uma maneira fácil de implantar a proteção contra um conjunto comum de ameaças de segurança. Como os conjuntos de regras são gerenciados pelo Azure, as regras são atualizadas conforme necessário para proteção contra novas assinaturas de ataque. O conjunto de regras padrão também inclui as regras de Coleta de Inteligência contra Ameaças da Microsoft, que são escritas em parceria com a equipe de inteligência da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos. Para obter mais informações, confira Regras gerenciadas pelo WAF.

Observação

  • Somente o Azure Front Door Premium e o Azure Front Door (clássico) dão suporte a regras gerenciadas.
  • O Azure Front Door (clássico) dá suporte apenas ao DRS 1.1 ou inferior.

Regras personalizadas

Usar o WAF (Firewall de Aplicativo Web) do Azure com o Front Door permite controlar o acesso aos seus aplicativos Web com base nas condições que você definir. Uma regra WAF personalizada consiste em itens como: número de prioridade, tipo de regra, condições de correspondência e ação. Há dois tipos de regras personalizadas: regras de correspondência e regras de limite de taxa. Uma regra de correspondência controla o acesso com base em um conjunto de condições de correspondência, ao passo que uma regra de limite de taxa controla o acesso com base em condições de correspondência e taxas de solicitações de entrada. Para obter mais informações, consulte Regras personalizadas do WAF.

Listas de exclusões

Às vezes, o WAF (Firewall de Aplicativo Web) do Azure pode bloquear solicitações que você deseja permitir para o aplicativo. A lista de exclusões do WAF permite omitir determinados atributos da solicitação de uma avaliação do WAF e permitir que o restante da solicitação seja processada normalmente. Para obter mais informações, confira Listas de exclusão do WAF.

Filtragem geográfica

O Azure Front Door, por padrão, responde a todas as solicitações de usuário, independentemente do local de origem da solicitação. A filtragem geográfica permite restringir o acesso ao aplicativo Web por países/regiões. Para saber mais, veja Filtragem geográfica do WAF.

Proteção contra bots

O WAF (Firewall de Aplicativo Web) do Azure para Front Door fornece regras de bot para identificar bots bons e proteger contra bots ruins. Para obter mais informações, confira Configurar a proteção contra bots.

Restrição de IP

Uma regra de controle de acesso baseada em endereço IP é uma regra do WAF personalizada que permite controlar o acesso aos seus aplicativos Web especificando uma lista de endereços IP ou intervalos de endereços IP. Para obter mais informações, consulte Configurar a restrição de IP.

Limitação de taxa

Uma regra de limite de taxa personalizada controla o acesso com base nas condições de correspondência e nas taxas de solicitações de entrada. Para obter mais informações, confira O que é a limitação de taxa para o Azure Front Door Service?.

Ajuste

O Conjunto de Regras Padrão gerenciado pela Microsoft é baseado no CRS (Conjunto de regras principal) do OWASP e inclui regras de Coleta de Inteligência contra Ameaças da Microsoft. O WAF (Firewall de Aplicativo Web) do Azure permite ajustar as regras do WAF para atender às necessidades dos requisitos de WAF do aplicativo e da organização. Os recursos de ajuste que você verá são a definição de exclusões de regras, a criação de regras personalizadas e a desabilitação de regras. Para saber mais, consulte Ajuste do WAF.

Monitoramento e log

O monitoramento e o registro em log do WAF (Firewall de Aplicativo Web) do Azure são fornecidos por meio de registro em log e integração com o Azure Monitor e logs do Azure Monitor. Para obter mais informações, confira Registro em log e monitoramento do WAF (Firewall de Aplicativo Web) do Azure.

Próximas etapas