在 Azure 前门服务上配置 WAF

Posted 2023-02-19

【中文标题】在 Azure 前门服务上配置 WAF

【英文标题】：Configuring WAF on Azure Front door services

【发布时间】：2019-12-14 21:15:10

【问题描述】：

我正在为 Microsoft Azure 提供的天蓝色前门服务设置 WAF 规则。目前，我正在使用默认规则集 1.0 提供的 OTB 来阻止前 10 个 OWSAP 威胁。

启用默认规则后，我们观察到 403 错误，无法了解哪个策略阻止了请求。

对 WAF 政策的任何更改至少需要 7 到 15 分钟才能生效。我需要了解是否有任何有效的方法来进行更改和测试。

确定需要启用或禁用哪些规则集的最佳方法是什么？

我们尝试启用所有规则集，但网站开始抛出 403 错误。目前，我们一次启用一个规则并验证该规则是否阻止任何请求。

【参考方案1】：

带有 FrontDoor 日志的 WAF 与 Azure Monitor 集成。您可以启用 diagnostics settings 并跟踪与 FrontdoorWebApplicationFirewallLog 日志中的 WAF 规则匹配的任何请求。以下示例查询获取有关被阻止请求的 WAF 日志：

AzureDiagnostics
| where ResourceType == "FRONTDOORS" and Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"

此外，您可以参考 Azure 前门服务中的 monitoring metrics and logs 和告诉如何查看 WAF 诊断日志和调整 WAF 策略规则的 good blog，即使它是针对应用 GW 示例。

【讨论】：

我们启用了 Azure Monitor 并确定了所有引发 403 错误的 WAF 规则。目前，我们已将操作更改为从块记录。