Azure – WAF (Web Application Firewall)

前言

最近有客户想购买 Azure 的 Web Application Firewall (WAF), 来防 SQL Injection, XSS 攻击.

一开始我是觉得没什么必要, 毕竟什么年代了, 如果项目里还有 SQL Injection, XSS 的话, 那表示开发人员有问题了. 那你要防的东西可多了.

但后来我详细 research 之后发现, WAF 是个好东西, 它远远不只是防 SQL Injection, XSS 这些.

重点是, 它也没有很贵, 性能也没有很慢. 这就好比住宅区外是否要一个 guard house 把守进入住宅区的人.

坏处就是进出变慢了, 因为多了一个检查环节, 另一个就是要钱.

好处就是多了一个保护. 这个保护主要是心里层面, 你不会因为住家外有了 guard house 而家里就不锁门. 但多一个保护多一个检查肯定多一份安全.

所以站在企业的角度, 购买这些是合理的.

主要参考:

通过nginx配置文件抵御攻击 (讲了一个具体 CC Attack 防卫案例)

WAF气数已尽？(敏捷 DevOps 希望把安全也纳入 Web 架构中, 而不是外面 wrap 一层 WAF, 但是理想很好, 现实不容易啊)

讲讲企业选购WAF那些事 (法律政策也是采购 WAF 的考量之一, 也有讲到新一代 WAF 自动化攻击等等)

WAF基本原理与部署方式 (讲架构原理, 一堆流程图)

Azure WAF 保护范围

Azure WAF – How It Work

WAF 需要拦截所有服务器请求, 然后进行检测. 但它不会架在服务器里, 而是在请求到达服务器之前去做拦截.

在之前的教程里, 我是直接把 DNS 里的 domain point 去 server public IP. 这样它就没有机会做拦截了.

在 Azure 的架构里, WAF 需要依附在其它 network service 之上. 然后把 DNS point to 这些 service (有点反向代理的味道)

参考: What is Azure Web Application Firewall

1. Azure Application Gateway

参考 : What is Azure Application Gateway?

它是 Azure 的 load balancer 之一 (Azure 针对不同场合有不同的 load balance service), 我没有研究太多, 只知道它的 limitation 是 only region level. 不可以跨 region.

2. Azure Front Door (AFD)

参考: What is Azure Front Door?

它是 global 的, 对比 Application Gateway 它可能是比较综合的 solution. AG 比较 focus 在 load balance, AFD 则包含 CDN 等.

2021 年 4 月, Azure 还推出了 AFD standard 和 premium preview 版本. 里面就结合了 AFD classic + Azure CDN + Azure WAF

所以估计日后会发扬光大

3. Azure CDN

参考: What is a content delivery network on Azure?

Azure CDN vs Azure AFD 简单理解就是 CDN 适合 static 内容, AFD 适合 Web App, API. 都是分布式网络的方案.

目前 CDN 配 WAF 还属于 Preview 阶段.

Preview 能用吗?

Azure 的 preview service 最好不要用在 production.

然后它通常会有高则扣

Should I use Azure WAF?

很显然, Azure 在 WAF 这方面还是很弱的. 建议要做 WAF 最好选 Cloudflare. 如果要用 Azure, AFD 应该会是未来. 所以可以等过了 preview 阶段.

TODO 目前没有用它... 以后有在朴上

Azure Part

What is Azure WAF on Azure Application Gateway?

Web Application Firewall CRS rule groups and rules

FAQ about Application Gateway

FAQ for Azure WAF on Application Gateway