Azure Front Door에서 Web Application Firewall 구현

10분

WAF(웹 애플리케이션 방화벽)는 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 그 중에서 SQL 삽입 및 사이트 간 스크립팅은 가장 흔한 공격 방식입니다.

액세스 허용 및 거부를 사용하는 전역 WAF 정책의 다이어그램.

애플리케이션 코드에서 공격을 막는 것은 어려운 일입니다. 예방을 위해 애플리케이션 토폴로지의 여러 계층에서 엄격한 유지 관리와 패치, 모니터링이 필요할 수 있습니다. 중앙 집중식 WAF를 사용하면 보안을 보다 간단하게 관리할 수 있습니다. 또한 WAF를 사용하여 애플리케이션 관리자는 위협 및 침입으로부터 보다 확실하게 보호할 수 있습니다.

WAF 솔루션은 각각의 개별 웹 애플리케이션을 보호하는 대신 중앙의 위치에서 알려진 취약성에 패치를 적용함으로써 보안 위협에 더욱 빠르게 대응할 수 있습니다.

WAF(Web Application Firewall) 정책 모드

두 가지 WAF 정책 모드가 있습니다. 이는 검색과 방지입니다. 기본적으로 WAF 정책은 검색 모드로 설정됩니다. 검색 모드에서는 WAF가 요청을 차단하지 않습니다. 대신 WAF 규칙과 일치하는 요청이 WAF 로그에 기록됩니다. 방지 모드에서는 규칙과 일치하는 요청이 차단되고 기록됩니다.

WAF 정책 모드의 스크린샷.

Web Application Firewall 기본 규칙 집합 규칙 그룹 및 규칙

Azure Front Door 웹 애플리케이션 방화벽은 일반적인 취약성과 익스플로잇으로부터 웹 애플리케이션을 보호합니다. Azure 관리형 규칙 세트는 일반적인 보안 위협에 대한 보호를 쉽게 배포할 수 있는 방법을 제공합니다. Azure 규칙 집합은 새로운 공격 서명으로부터 보호가 필요할 때 업데이트됩니다.

관리 규칙

Azure 관리형 기본 규칙 집합에는 다음 위협 범주에 대한 규칙이 포함됩니다.

사이트 간 스크립팅
Java 공격
로컬 파일 포함
PHP 삽입 공격
원격 명령 실행
원격 파일 포함
세션 고정
SQL 삽입 공격 보호
프로토콜 공격자

Azure 관리형 기본 규칙 집합은 기본적으로 사용하도록 설정되어 있습니다. 현재 기본 버전은 DefaultRuleSet_2.1입니다. 다른 규칙 집합은 드롭다운 상자에서 사용할 수 있습니다.

개별 규칙을 사용하지 않도록 설정하려면 규칙 번호 앞에 있는 확인란을 선택하고 페이지 위쪽에서 사용 안 함을 선택합니다. 규칙 집합 내에서 개별 규칙의 작업 유형을 변경하려면 규칙 번호 앞에 있는 확인란을 선택한 다음, 페이지 위쪽에서 작업 변경을 선택합니다.

WAF 정책 관리 규칙의 스크린샷.

사용자 지정 규칙

Front Door와 함께 Azure WAF를 사용하면 정의하는 조건에 따라 웹 애플리케이션에 대한 액세스를 제어할 수 있습니다. 사용자 지정 WAF 규칙은 우선 순위 번호, 규칙 유형, 일치 조건, 작업으로 구성됩니다.

사용자 지정 규칙의 두 가지 유형은 일치 규칙과 속도 제한 규칙입니다. 일치 규칙은 일치 조건 집합에 따라 액세스를 결정합니다. 속도 제한 규칙은 들어오는 요청 속도와 일치 조건을 기준으로 액세스를 결정합니다.

WAF 정책을 만들 때 사용자 지정 규칙 섹션에서 사용자 지정 규칙 추가를 선택하여 사용자 지정 규칙을 만들 수 있습니다. 그러면 사용자 지정 규칙 구성 페이지가 시작됩니다.

WAF 정책 사용자 지정 규칙 추가의 스크린샷.

아래의 예시 이미지는 쿼리 문자열에 blockme가 포함된 경우 요청을 차단하는 사용자 지정 규칙의 구성을 보여줍니다.

WAF 정책 사용자 지정 규칙 구성의 스크린샷.

Azure Front Door에서 Web Application Firewall 정책 만들기

이 섹션에서는 기본 Azure WAF 정책을 만들고 Azure Front Door의 프로필에 적용하는 방법을 설명합니다.

Azure Portal을 사용하여 Azure Front Door에서 WAF 정책을 만드는 주요 단계는 다음과 같습니다.

웹 애플리케이션 방화벽 정책 만들기. 관리형 DRS(기본 규칙 집합)를 사용하여 기본 WAF 정책을 만듭니다.
WAF 정책을 Front Door 프로필에 연결. WAF 정책을 Front Door 프로필에 연결합니다. 이 연결은 WAF 정책을 만드는 동안 수행할 수도 있고, 이전에 만든 WAF 정책에서 수행할 수도 있습니다. 연결에서 정책을 적용할 Front Door 프로필 및 도메인을 지정합니다.
WAF 정책 설정 및 규칙 구성. 선택적 단계로, 모드(방지 또는 검색)와 같은 정책 설정을 구성하고 관리형 규칙과 사용자 지정 규칙을 구성할 수 있습니다.

이 모든 작업에 대한 자세한 단계를 보려면 자습서: Azure Portal을 사용하여 Azure Front Door에서 Web Application Firewall 정책 만들기를 참조하세요.

지식 점검

WAF 정책에서 사용할 수 있는 두 가지 모드는 무엇입니까?

WAF 정책은 기본 모드이거나 사용자 지정 모드일 수 있습니다.

WAF 정책은 기본 규칙 집합 모드이거나 검색 모드일 수 있습니다.

WAF 정책은 방지 모드나 검색 모드 중 하나일 수 있습니다.

WAF 정책의 두 가지 사용자 지정 규칙 유형은 무엇인가요?

문자열 규칙 및 일치 규칙.

일치 규칙 및 속도 제한 규칙

우선 순위 규칙 및 속도 제한 규칙.

작업을 확인하기 전에 모든 질문에 대답해야 합니다.