问题描述
我在存储帐户前设置了 Azure CDN 来托管静态网站,并添加了内容交付网络 WAF 策略以防范常见威胁。内容交付网络 WAF 策略只允许使用 DefaultRuleSet_1.0,这看起来不错,但以下是我需要满足的一些安全实践要求,我不确定它是否包含在 DefaultRuleSet_1.0 中。
- Protection against crawlers and scanners.
- Detection of common application misconfigurations (for example,Apache and IIS).
- Protect applications from bots with the bot mitigation ruleset.
- Inspect JSON and XML in the request body
我的问题:
- DefaultRuleSet_1.0 是否可以抵御上述列表中提到的攻击?
- 如果 DefaultRuleSet_1.0 没有,那么我如何添加针对这种攻击的保护?可以添加自定义规则,但是否适用于这种级别的保护?
解决方法
- 默认规则集未涵盖机器人/爬虫/扫描器攻击。 Azure Front Door Premium SKU 中有单独的机器人管理器规则集,但不适用于 Azure CDN。 Microsoft Azure CDN 上的 WAF 目前处于公共预览阶段,并提供预览服务级别协议。某些功能可能不受支持或功能受限。 Azure 托管的默认规则集包含针对以下链接中提到的几个威胁类别的规则:https://docs.microsoft.com/en-us/azure/web-application-firewall/cdn/cdn-overview#azure-managed-rule-sets 默认规则集的版本号在将新攻击签名添加到规则集中时增加。
- 可以添加自定义规则,但无助于获得这种级别的保护,因为它们仅包含具有以下链接中提到的功能的匹配规则和速率控制规则:https://docs.microsoft.com/en-us/azure/web-application-firewall/cdn/cdn-overview#custom-rules。由于微软 Azure CDN 上的 WAF 目前处于公共预览阶段,一旦正式发布,可能会添加机器人规则集的功能和添加的自定义规则功能。请随时在请求此功能的以下论坛中分享您的反馈。 https://feedback.azure.com/forums/217313-networking?category_id=345019