使用 Azure Web 应用防火墙拦截黑客攻击

小提示：您能找到这篇{使用 Azure Web 应用防火墙拦截黑客攻击}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的使用 Azure Web 应用防火墙拦截黑客攻击内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< font-size: 16px;">

< font-size: 16px;">汪宇杰

< font-size: 16px;">10年网站开发和运维经验，Azure和.NET方向开发者、Azure全球训练营讲师、3年连任微软最有价值专什么是推广软文家（MVP）。现任美国领先金融科技企业高级工程师。作为积极的微软技术布道者，曾在Windows 10平台发布“描图”、“Character Map UWP”等总计数十款开源无广告版本应用，累积百万全球装机量，被Windows Central、IT之家等知名科技媒体多次推荐。长期运营个人博客https://edi.wang、微信公众号“汪宇杰博客”，参与GitHub多个开源项目，拥有开源、无广告、非营利传播技术的技术信仰。

< font-size: 16px;">开发或运维过网站的朋友总免不了遇到不怀好意的访客。互联网上有许多全自动黑客工具及脚本，可以扫描你的网站是否有已知安全漏洞，并全自动发起攻击，企图夺取服务器控制权。尽管我们可以在编写网站程序的时候尽量做到符合安全标准，但难免会有疏忽的时候。因此企业常常采购网站应用防火墙（WAF），部署在网站入口，来拦截常见的攻击行为。微软Azure上也有成熟的WAF服务，可以让我们仅需点几下鼠标便可完成防火墙配置。

< font-size: 16px;">Azure WAF简介

< font-size: 16px;">Azure Web应用程序防火墙（WAF）是原生的托管服务，可为您的Web应用程序提供保护，使其免受常见漏洞和漏洞的影响。Web应用程序越来越成为各种类型的攻击的目标，例如恶意机器人、SQL注入攻击和跨站脚本攻击，这些攻击可能导致网站站点破坏，敏感数据泄露和应用程序宕机。防止应用程序代码中的此类攻击具有难度，并且可能需要在应用程序拓扑的多层进行严格的维护，修补和监视。集中式Web应用程序防火墙有助于简化安全管理，并更好地确保应用程序管理员免受威胁或入侵。此外，WAF解决方案可以通过在中心位置修补已知漏洞而不是保护每个单独的Web应用程序来更快地响应安全威胁。

< font-size: 16px;">01

< font-size: 16px;">创建Azure WAF

< font-size: 16px;">在Azure Portal里点击Create a resource，搜索"WAF"，选择"Web Application Firewall"，点击Create。

< font-size: 16px;">

< font-size: 16px;">Azure WAF可以整合到Front Door,Application Gateway及Azure CDN中。其中的Front Door我曾经写过几篇文章介绍（见文末），最为熟悉，所以以此为例，Policy for里选择"Front Door"。Policy name可以任意指定。

< font-size: 16px;">

< font-size: 16px;">Mode设置为Prevention，即拦截模式，可以阻止被识别的攻击。而Detection模式只会记录日志，并放行攻击行为，假装没看见。

< font-size: 16px;">Block response body的内容可以留空，也可以设置为给黑客的问候语，当攻击行为被拦截的时候就会显示在黑客的屏幕上。

< font-size: 16px;">

< font-size: 16px;">Managed rules中列出了微软提供的几款常用防火墙规则，可以勾选你需要的。其中涵盖了常见的SQL注入、XSS、Windows,Linux远程命令执行、PHP注入、恶意机器人等等非常全面的攻击行为规则。试想一下，如果没有WAF，就需要程序员花费一定时间手写代码，而用了Azure，只要轻松点点鼠标就完成配置了。

< font-size: 16px;">

< font-size: 16px;">Custom rules允许我们设置微软不提供的自定义防火墙规则。我们在稍后会介绍，此处先跳过。这些规则以及Managed rules都可以在创建完WAF后更改。

< font-size: 16px;">由于这个WAF策略在第一步里设置为了Front Door，因此我们需要关联Front Door中的域名。至于Front Door是什么，怎么操作，可以参考我之前的文章。

< font-size: 16px;">最后点击Review+Create，完成WAF创建。如果成功关联了Front Door，那么等待5分钟左右，WAF即生效。

< font-size: 16px;">

< font-size: 16px;">02

< font-size: 16px;">使用自定义规则

< font-size: 16px;">Azure WAF允许用户非常灵活地自定义防火墙规则。例如，我的博客并不是PHP写的，所以请求.php的往往是黑客扫描工具。我想屏蔽.php的请求。那么我可以添加一个自定义规则，查找URL为.php结尾的请求，并阻止掉。

< font-size: 16px;">至于所谓黑客的扫描工具，并不是我瞎编的，可以给大家看个实际案例。我的博客运营11年间，经常被黑客工具扫描，而用了Azure以后，Application Insight就能监测到这种短时间大量404请求的情况：

< font-size: 16px;">

< ">可以发现这段时间的failure几乎都是404。实际上网站在这段时间内可以正常访问。

< ">

< font-size: 16px;">Drill in进去就能发现这些404请求都是黑客工具在尝试常见的PHP系统漏洞。

< font-size: 16px;">

< font-size: 16px;">还尝试SQL注入，在URL最后加个单引号。

< font-size: 16px;">

< font-size: 16px;">实际上Azure WAF的managed rules里已经能够防御大部分这样的扫描，但如果想通过自定义规则来实现，也可以，比如屏蔽所有.php的请求。进入Azure WAF，Custom rules，添加一个自定义规则。

< font-size: 16px;">

< font-size: 16px;">指定一个名称，例如BlockPHPExtension，将Rule type设置为Match

< font-size: 16px;">

< font-size: 16px;">Condition为规则触发条件。为了匹配所有以.php结尾的请求，我们可以：

< font-size: 16px;">

• Match type: String

• Match variable: RequestUri

• Operation: is

  
  

  

  
  

• Operator: Ends with

• Transformation: Lowercase

• Match values: .php

• 最后拒绝请求：Deny traffic

< font-size: 16px;">保存规则后等5分钟左右，尝试访问.php结尾的URL，就是这个效果：

< font-size: 16px;">

< font-size: 16px;">Response Headers里也能看到本次拦截是Azure WAF的功劳。

< font-size: 16px;">

< font-size: 16px;">这个Custom rules还支持多种条件组合。例如屏蔽或仅允许某些国家及地区的请求、屏蔽短时间大量请求（Rate limit）、屏蔽大数据量的请求（Size）等等。可以轻松满足各自的需要。

< font-size: 16px;">

< font-size: 16px;">

< font-size: 16px;">微软最有价值专家是微软公司授予第三方技术专业人士的一个全球奖项。27年来，世界各地的技术社区领导者，因其在线上和线下的技术社区中分享专业知识和经验而获得此奖项。

< font-size: 16px;">MVP是经过严格挑选的专家团队，他们代表着技术最精湛且最具智慧的人，是对社区投入极大的热情并乐于助人的专家。MVP致力于通过演讲、论坛问答、创建网站、撰写博客、分享视频、开源项目、组织会议等方式来帮助他人，并最大程度地帮宣传片拍摄过程助微软技术社区用户使用Microsoft技术。

< font-size: 16px;">更多详情请登录官方网站：

< font-size: 16px;">https://mvp.microsoft.com/zh-cn