带有 WAF 托管规则的 Azure CDN

Question

我已经在存储帐户前面设置了 Azure CDN 来托管静态网站，还添加了内容交付网络 WAF 策略来防范常见的威胁。内容交付网络 WAF 策略仅允许使用 DefaultRuleSet_1.0，这看起来不错，但以下是我需要满足的一些安全实践要求，我不确定 DefaultRuleSet_1.0 是否涵盖这些要求。

- Protection against crawlers and scanners.
- Detection of common application misconfigurations (for example, Apache and IIS).
- Protect applications from bots with the bot mitigation ruleset. 
- Inspect JSON and XML in the request body

我的问题：

1. DefaultRuleSet_1.0 是否可以防止上述列表中提到的攻击？
2. 如果 DefaultRuleSet_1.0 没有，那么如何添加针对这种攻击的保护？可以添加自定义规则，但这是否意味着这种级别的保护？

Answer 1

1. 默认规则集中不包括机器人/爬虫/扫描程序攻击。 Azure Front Door Premium SKU 中提供了单独的机器人管理器规则集，但不适用于 Azure CDN。 Microsoft 的 Azure CDN 上的 WAF 目前处于公共预览阶段，并提供了预览服务级别协议。某些功能可能不受支持或功能受限。 Azure 托管的默认规则集包括针对以下链接中提到的几个威胁类别的规则：https://docs.microsoft.com/en-us/azure/web-application-firewall/cdn/cdn-overview#azure-managed-rule-sets 当新的攻击签名添加到规则集中时，默认规则集的版本号会增加。
2. 有可能添加自定义规则，但它无助于获得此级别的保护，因为它们仅包括具有以下链接中提到的功能的匹配规则和速率控制规则：https://docs.microsoft.com/en-us/azure/web-application-firewall/cdn/cdn-overview#custom-rules。由于 Microsoft 的 Azure CDN 上的 WAF 目前处于公共预览阶段，因此 Bot 规则集的功能和添加的自定义规则功能可能会在它进入 GA 后添加。请随时在下面请求此功能的论坛中分享您的反馈。 https://feedback.azure.com/forums/217313-networking?category_id=345019