إنشاء نهج جدار حماية تطبيق ويب لبوابة التطبيق
إن ربط سياسة WAF بالمستمعين يسمح بحماية مواقع متعددة خلف WAF واحد من خلال سياسات مختلفة. على سبيل المثال، إذا كان هناك خمسة مواقع خلف WAF الخاص بك، فيمكنك الحصول على خمس سياسات WAF منفصلة (واحدة لكل مستمع) لتخصيص الاستثناءات والقواعد المخصصة ومجموعات القواعد المدارة لموقع واحد دون التأثير على الأربعة الآخرين. إذا كنت تريد تطبيق سياسة واحدة على جميع المواقع، يمكنك فقط ربط السياسة ببوابة التطبيق، بدلا من المستمعين الفرديين، لجعلها قابلة للتطبيق عالميا. يمكن أيضا تطبيق النهج على قاعدة توجيه تستند إلى مسار.
يمكنك وضع أي عدد تريده من السياسات. بمجرد إنشاء سياسة، يجب أن تكون مقترنة ببوابة تطبيق لتدخل حيز التنفيذ، ولكن يمكن ربطها بأي مجموعة من بوابات التطبيق والمستمعين.
إذا كانت "بوابة التطبيقات" الخاصة بك تحتوي على سياسة مطبقة، ثم قمت بتطبيق سياسة مختلفة على مستمع على بوابة التطبيق هذه، فستدخل سياسة المستمع حيز التنفيذ، ولكن فقط بالنسبة للمستمع (المستمعين) الذين تم تعيينهم إليهم. لا يزال نهج بوابة التطبيق ساريا على جميع المستمعين الآخرين الذين ليس لديهم سياسة محددة معينة مخصصة لهم.
ملاحظة
بمجرد ربط سياسة جدار الحماية ب WAF ، يجب أن تكون هناك دائما سياسة مرتبطة بهذا WAF. يمكنك الكتابة فوق هذه السياسة، ولكن فصل سياسة عن WAF بالكامل غير مدعوم.
جميع إعدادات WAF الخاصة ب Web Application Firewall الجديدة (القواعد المخصصة ، وتكوينات rulset المدارة ، والاستثناءات ، وما إلى ذلك) موجودة داخل سياسة WAF. إذا كان لديك WAF موجود، فقد تظل هذه الإعدادات موجودة في تكوين WAF الخاص بك. للحصول على خطوات حول كيفية الانتقال إلى سياسة WAF الجديدة، راجع ترحيل تكوين WAF إلى سياسة WAF لاحقا في هذه المقالة.
إنشاء نهج
أولا، قم بإنشاء نهج WAF أساسي باستخدام مجموعة قواعد افتراضية مدارة (DRS) باستخدام مدخل Azure.
في الجانب العلوي الأيسر من المدخل، حدد إنشاء مورد. ابحث عن WAF، وحدد Web Application Firewall، ثم حدد Create.
في صفحة إنشاء نهج جدار حماية تطبيق ويب (WAF) ، وعلامة تبويب الأساسيات، أدخل المعلومات الآتية أو حددها، ووافق على الإعدادات الافتراضية للإعدادات المتبقية، ثم حدد مراجعة + إنشاء:
إعداد القيمة نهج لـ جدار حماية تطبيق الويب الإقليمي (بوابة التطبيقات) الاشتراك حدد اسم الاشتراك مجموعة الموارد تحديد مجموعة الموارد اسم النهج اكتب اسماً فريداً لنهج جدار حماية تطبيق الويب. في علامة التبويب اقتران ، أدخل أحد الإعدادات التالية، ثم حدد إضافة:
الإعداد القيمة بوابة طلب المنتسبين حدد اسم ملف تعريف بوابة التطبيق الخاص بك. المستمعون المشاركون حدد اسم مستمع بوابة التطبيق، ثم حدد إضافة. ملاحظة
إذا قمت بتعيين نهج إلى "Application Gateway" (أو وحدة الإصغاء) التي لديها نهج قائم بالفعل، تتم الكتابة فوق النهج الأصلي واستبداله بالنهج الجديد.
حدد Review + create، ثم حدد Create.
تكوين قواعد WAF (اختياري)
عند إنشاء نهج WAF، يكون افتراضيا في وضع الكشف . وفي وضع Detection لا يحظر جدار حماية تطبيقات الويب أي طلبات. بدلا من ذلك، يتم تسجيل قواعد WAF المطابقة في سجلات WAF. لرؤية WAF قيد التنفيذ، يمكنك تغيير إعدادات الوضع إلى الوقاية. في وضع المنع، يتم حظر قواعد المطابقة المحددة في مجموعة قواعد CRS التي حددتها و/أو تسجيلها في سجلات WAF.
القواعد المدارة
يتم تمكين قواعد OWASP المدارة بواسطة Azure بشكل افتراضي. لتعطيل قاعدة فردية داخل مجموعة قواعد، قم بتوسيع القواعد داخل مجموعة القواعد هذه، وحدد خانة الاختيار الموجودة أمام رقم القاعدة، وحدد تعطيل في علامة التبويب أعلاه.
قواعد مخصصة
لإنشاء قاعدة مخصصة، حدد إضافة قاعدة مخصصة ضمن علامة التبويب قواعد مخصصة . يؤدي ذلك إلى فتح صفحة تكوين القاعدة المخصصة. تعرض لقطة الشاشة التالية مثالا على قاعدة مخصصة تم تكوينها لحظر طلب إذا كانت سلسلة الاستعلام تحتوي على كتلة النص.
ترحيل تكوين WAF الخاص بك إلى سياسة WAF
إذا كان لديك WAF حالي ، فربما لاحظت بعض التغييرات في البوابة. تحتاج أولا إلى تحديد نوع السياسة التي قمت بتمكينها على WAF الخاص بك. هناك ثلاث حالات محتملة:
- لا توجد سياسة WAF
- سياسة القواعد المخصصة فقط
- سياسة المنتدى
يمكنك معرفة الحالة التي يوجد فيها WAF الخاص بك من خلال النظر إليها في البوابة. إذا كانت إعدادات WAF مرئية ويمكن تغييرها من داخل طريقة عرض بوابة التطبيق، فهذا يعني أن WAF الخاص بك في الحالة 1.
إذا قمت بتحديد جدار حماية تطبيق ويب ويعرض لك سياسة مقترنة، يكون WAF في الحالة 2 أو الحالة 3. بعد الانتقال إلى السياسة، إذا كانت تعرض القواعد المخصصة فقط، وبوابات التطبيقات المقترنة، فستكون سياسة القواعد المخصصة فقط .
إذا كان يعرض أيضا الإعدادات النهج والقواعد المدارة، فهذا يعني أنه نهج جدار حماية تطبيق ويب كامل.
الهجرة إلى سياسة WAF
إذا كان لديك سياسة WAF مخصصة للقواعد فقط، فقد ترغب في الانتقال إلى سياسة WAF الجديدة. من الآن فصاعدا، سيدعم نهج جدار الحماية إعدادات نهج WAF والقواعد المدارة والاستثناءات ومجموعات القواعد المعطلة. في الأساس ، تتم الآن جميع تكوينات WAF التي تم إجراؤها سابقا داخل بوابة التطبيق من خلال سياسة WAF.
يتم تعطيل التعديلات على القاعدة المخصصة وسياسة WAF فقط. لتحرير أي إعدادات WAF مثل تعطيل القواعد وإضافة الاستثناءات وما إلى ذلك ، يجب عليك الترحيل إلى مورد جديد لسياسة جدار الحماية عالي المستوى.
للقيام بذلك، قم بإنشاء نهج جدار حماية تطبيق ويب وربطه ببوابة (بوابات) التطبيق والمستمع (المستمعين) الذين تختارهم. يجب أن تكون هذه السياسة الجديدة هي نفسها تماما مثل تكوين WAF الحالي ، مما يعني أنه يجب نسخ كل قاعدة مخصصة أو استبعاد أو قاعدة معطلة وما إلى ذلك إلى السياسة الجديدة التي تقوم بإنشائها. بمجرد أن يكون لديك سياسة مرتبطة ببوابة التطبيق الخاصة بك ، يمكنك الاستمرار في إجراء تغييرات على قواعد وإعدادات WAF الخاصة بك. يمكنك أيضا القيام بذلك باستخدام Azure PowerShell. لمزيد من المعلومات، راجع إقران نهج WAF ببوابة تطبيق موجودة.
اختياريا، يمكنك استخدام برنامج نصي للترحيل إلى سياسة WAF. لمزيد من المعلومات، راجع ترحيل نهج جدار حماية تطبيقات الويب باستخدام Azure PowerShell.
وضع القوة
إذا كنت لا ترغب في نسخ كل شيء إلى سياسة مماثلة تماما للتكوين الحالي الخاص بك ، فيمكنك تعيين WAF في وضع "القوة". قم بتشغيل رمز Azure PowerShell التالي وسيكون WAF في وضع القوة. ثم يمكنك ربط أي سياسة WAF ب WAF الخاص بك ، حتى لو لم يكن لديها نفس الإعدادات بالضبط مثل التكوين الخاص بك.
$appgw = Get-AzApplicationGateway -Name <your Application Gateway name> -ResourceGroupName <your Resource Group name>
$appgw.ForceFirewallPolicyAssociation = $true
ثم يتقدم بالخطوات اللازمة لربط سياسة WAF ببوابة التطبيق الخاصة بك. لمزيد من المعلومات، راجع إقران نهج WAF ببوابة تطبيق موجودة.
الخطوات التالية
تعرف على المزيد حول مجموعات قواعد وقواعد CRS لجدار حماية تطبيقات الويب.