Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护，防止常见漏洞和攻击。Azure WAF 是一项云原生服务，可帮助保护 Web 应用程序免受常见 Web 威胁和安全漏洞（例如跨站点脚本 (XSS) 和 SQL 注入 (SQLi)）的影响。 

您可以在几分钟内部署 Azure WAF 以阻止恶意攻击并了解您的环境。Azure WAF 提供了多种使用 Azure 应用程序网关、Azure 内容交付网络 (CDN) 或 Azure Front Door 的部署选项。

这是有关云安全的系列文章的一部分。

在本文中：

• Azure Web 应用程序防火墙的工作原理
  • 输入净化
  • 规则、组和核心规则集
  • 检测和预防模式
  • 部署选项

Azure WAF 的 7 个主要功能

Azure Web 应用程序防火墙提供以下主要功能： 

1. 托管规则– Microsoft 维护 WAF 规则来检测和阻止常见威胁，并在更改规则时自动更新防火墙。 
2. 自定义规则– 补充托管规则以将覆盖范围扩展到更多 Web 应用程序威胁。 
3. WAF 策略– 将托管规则和自定义规则与其他防火墙设置相结合，创建完整的策略来保护不同的 Web 应用程序。 
4. 模式– Azure WAF 在检测模式（仅记录违规）或预防模式（记录和阻止未经授权的请求）下运行。
5. 排除– Azure WAF 在验证请求时可以忽略某些属性。
6. 请求限制– Azure WAF 可以标记超出指定大小限制的请求。 
7. 警报– 与 Azure Monitor 集成，在 WAF 检测到威胁时立即生成警报。

Azure WAF 用例

以下是常见的 Azure WAF 用例：

具有敏感或专有数据的 Web 应用程序

大多数恶意行为者在发起攻击时都有特定的目标。也许最常见的目标是访问敏感的个人信息（例如身份证和驾驶执照号码）、财务信息（例如客户信用卡号码）、专有信息和商业秘密。

攻击者可以直接使用这些信息，例如，通过使用被盗的信用卡号码购买商品。然而，攻击者更有可能持有数据以获取赎金或在犯罪市场上出售。运行存储专有或敏感数据的 Web 应用程序的组织可以利用 Azure WAF 来保护其免受入侵和泄露。

需要身份验证的 Web 应用程序

许多攻击者试图获取帐户凭据（通常是用户名和密码）以用于各种恶意目的。例如，攻击者可以使用受损的凭据来访问 Web 应用程序，同时冒充授权用户、使用被盗的提升权限运行命令或脚本、访问其他网络部分或登录其他服务和站点。

使用要求用户使用凭据登录的 Web 应用程序的组织可以使用 Azure WAF 来检测尝试窃取或显示帐户凭据的漏洞，例如本地文件包含和 SQL 注入。

具有安全要求和预算限制的 Web 应用程序

Web 开发团队经常尝试针对 OWASP 组织提到的十大 Web 安全漏洞实施安全措施。然而，创建和维护安全代码可能是一项耗时、费力的工作。 

保护 Web 应用程序免受所有漏洞的影响可能需要数千小时。Azure WAF 可以帮助加快此过程，让你可以在几分钟内配置 Azure 应用程序网关实例或 Azure 前门配置文件。

Azure Web 应用程序防火墙的工作原理

除了 Azure WAF 的核心功能之外，了解防火墙的工作原理也很重要。这些功能通过启用以下进程来帮助保护 Web 应用程序免受常见威胁。 

输入净化 

各种复杂的漏洞威胁着 Web 应用程序，但大多数威胁源自隐式信任的用户输入。一种常见的攻击技术是 SQL 注入。

例如，许多 Web 表单允许用户使用用户名和密码文本框以及登录按钮登录。应用程序将凭据存储为变量，执行如下命令：

sql = "从用户中选择*，其中用户名='"Visitor1"' AND 密码='"QWERTY123"'"

如果查询返回记录，则执行此语句将使用户登录。

然而，攻击者可以输入“Admin”作为用户名字段，而将密码字段留空。双破折号通常会导致 SQL 系统忽略后面的所有内容。如果存在名为 Admin 的用户，则攻击者可以以管理员身份登录。 

Azure WAF 消除了这种信任，使应用程序与用户提供的输入隔离。它会清理所有输入以抢占恶意脚本。消毒涉及针对不同情况的不同流程。一个例子是删除 SQL 命令指示器等元素，以防止输入损害系统。 

规则、组和核心规则集

Azure WAF 应用防火墙规则来筛选传入的 HTTP 请求。规则是识别和阻止特定威胁的代码。您将主要使用由 Microsoft 安全团队处理的托管规则。您可以使用一个核心规则集来实现多个相关规则，该核心规则集结合了基于 OWASP 常见漏洞的规则。 

Azure WAF 目前提供三个针对特定漏洞的核心规则集（CRS 2.29、CRS 3.0 和 CRS 3.1）。Azure 的托管规则并不总是涵盖 Web 应用程序的所有威胁，但你可以创建自定义规则来允许或阻止基于请求方法和变量的操作。 

检测和预防模式

您可以根据希望 Azure WAF 如何处理传入请求来选择一种模式： 

• 检测模式– 记录可疑请求但允许它们。
• 预防模式– 记录请求并阻止它们。 

例如，您可以使用检测模式来测试应用程序并识别误报和漏报等问题。您可以在部署应用程序时切换到预防模式。 

部署选项

Azure WAF 作为前端 Azure 解决方案的一部分运行。首先创建防火墙策略，其中包括以下设置：

• 要启用的托管规则。
• CRS 中要禁用的规则。
• 附加自定义规则。
• 模式。

以下 Azure 服务支持 WAF 部署： 

• Front Door – 将策略与 Azure Front Door 配置文件关联。
• 应用程序网关– 为 Azure WAF 配置或创建应用程序网关，选择 WAF 层。将WAF策略与网关关联。
• Azure 内容交付网络 (CDN) – 集中保护 Web 应用程序及其内容。

LvBug 的云安全

将代码、应用程序和资产迁移到云环境会带来新的风险。LvBug 的综合平台通过召集强大的道德黑客社区来解决云安全风险，这些黑客技術提供独特的专业知识来查找漏洞扫描程序和人工智能遗漏。 

借助 LvBug 提供的内置可见性和报告，组织可以保护其云环境免受多种威胁媒介的影响，包括云配置错误、数据泄露、子域接管、未经授权的应用程序访问等等。

LvBug 提供三种主要产品，可以帮助希望强化云攻击面的组织： 

1. LvBug评估 为云渗透测试带来了一种创造性的、社区主导的方法，为组织提供更大的覆盖范围、实时结果和无缝的修复工作流程，以快速查找和修复漏洞。LvBug 的AWS 特定解决方案允许组织通过与背景检查、AWS 认证的黑客合作，了解跨云应用程序、API、IAM 风险、无服务器部署、DNS 管理和 S3 问题的云特定威胁。漏洞结果和情报还可以从 LvBug 无缝路由到 AWS Security Hub，以采取快速、有效的安全行动。 
2. LvBug Bounty通过邀请道德黑客帮助组织发现并缩小云安全漏洞，最大限度地降低网络攻击的风险。 

LvBug Response帮助组织实施漏洞披露政策以遵守法规，同时为安全团队提供跨大量基于云的资产的漏洞情报。