Azure Front Door(三)啟用 Web Application Firewall (WAF) 保護Web 應用程式,拒絕惡意攻擊

Grant_Allen發表於2021-03-26

一,引言

  上一篇我們利用 Azure Front Door 為後端 VM 部署提供流量的負載均衡。因為是演示例項,也沒有實際的後端例項程式碼,只有一個 “Index.html” 的靜態頁面,那麼我們今天直接在我們專案的根目錄放置日誌檔案,如下圖所示

而且我們通過 Azure Front Door frontend host 直接就可以訪問到專案的根目錄的檔案了

這樣的話就產生了很多問題,比方說我們的專案程式中沒有處理根目錄的資源,那麼有可能導致其他任何人通過Azure Front Door frontend host 連線加上根目錄資原始檔的名稱就可以直接獲取到伺服器跟目錄的檔案,這樣是很危險的。同時,我們實際的專案程式碼中也要防止此類的攻擊,例如 “SQL隱碼攻擊”、“跨站指令碼攻擊”等。這個時候,我們就需要學會利用Web Application Firewall 提供集中保護,使其免受常見攻擊和漏洞的侵害。

-------------------- 我是分割線 --------------------

1,Azure Front Door(一)為基於.net core 開發的Azure App Service 提供流量轉發

2,Azure Front Door(二)對後端 VM 進行負載均衡

3,Azure Front Door(三)啟用 Web Application Firewall (WAF) 保護Web 應用程式,拒絕惡意攻擊

二,正文

1,建立Azure Web Application Firewall(WAF)

Azure Portal 上點選 “Create a resource”,並且在搜尋框中輸入“ Web Application Firewall (WAF)” 進行搜尋

點選 “Create”

新增/選擇引數

Policy For 選擇:“Global WAF(Front Door)”

Front door SKU:“Front Door”

Resource group:“Web_Test_FD_RG”

Policy name:“cnbateblogwebwaf”

點選 “Next:Policy settings >” 進行配置策略設定

Mode(模式)選擇:“Prevention(保護,預防)”

等待驗證完成後,點選 “Create” 進行建立

2,配置 "Web Application Firewall" 攔截規則

首先我們需要新增關聯的 Front host 主機,選擇 “Setting =》Assocations”,點選 “+ Add frontend host” 新增關聯主機

選擇上一篇文章中建立的 Azure Front Door “cnbateblogweb”,選擇Azure Front Door 的主機 “cnbateblogweb-azurefd-net”,點選 “Add” 進行新增

點選 “Save” 進行儲存操作

接下來就需要我們進行配置自定義 WAF 規則了,選擇 “Settings =》Custom rules”,點選 “+ Add custom rule”

輸入相關引數

Customer rule name:“ProtectTXTRule”

Priority(權重):“100”

Priority(權重):為規則指定唯一的編號,以指定相對於其他自定義規則處理規則的順序。具有較低值的規則在具有較高值的規則之前進行求值。最佳實踐是以100為增量分配數字。

接下來我們配置自定義規則匹配的條件,當請求的Azure Front Door 的 URL 已 “.txt” 為結尾的時候, 重定向流量到 “https://www.baidu.com”,點選 “Add”

新增完成後,點選 “Save” 儲存當前自定義策略

3,測試 Web Application Firewall 的攔截威力

正常情況下的訪問

如果我們在請求 Azure Front Door Frontend Host 連結中加上 日誌檔案呢? https://cnbateblogweb.azurefd.net/202103261640.txt

 ok,我們的目的也達成了!

三,結尾

  ok,今天的分享主要是為了演示 Web Application Firewall(WAF)在不需要我們修改任何程式碼的情況下,截至配置重定向流量,拒絕流量等防護操作,下一篇我們繼續講解 Web Application Firewall (WAF) ,細細分享其中還有那些知識點。本文所分享的內容也存在著很多我自己的一些理解,有理解不到位的,還希望多多包涵,並且指出不足之處。

參考資料:Azure Front DoorAzure Web Application Firewall

作者:Allen 

版權:轉載請在文章明顯位置註明作者及出處。如發現錯誤,歡迎批評指正。

相關文章