Share via

Nastavení zásad pro Web Application Firewall ve službě Azure Front Door

  • Článek

Zásady Firewallu webových aplikací (WAF) umožňují řídit přístup k webovým aplikacím pomocí sady vlastních a spravovaných pravidel. Název zásady WAF musí být jedinečný. Pokud se pokusíte použít existující název, zobrazí se chyba ověření. Pro všechna pravidla určená pro danou zásadu platí více nastavení na úrovni zásad, jak je popsáno v tomto článku.

Stav WAF

Zásady WAF pro službu Azure Front Door mají jeden z následujících dvou stavů:

  • Povoleno: Když je zásada povolená, WAF aktivně kontroluje příchozí požadavky a provádí odpovídající akce podle definic pravidel.
  • Zakázán: Když je zásada zakázaná, kontrola WAF se pozastaví. Příchozí požadavky obcházejí WAF a odesílají se do back-endů na základě směrování služby Azure Front Door.

Režim WAF

Zásady WAF můžete nakonfigurovat tak, aby běžely v následujících dvou režimech:

  • Režim detekce: Při spuštění v režimu detekce waf neprovádí žádné akce kromě monitorování a protokolování požadavku a odpovídajícího pravidla WAF do protokolů WAF. Při použití Azure Portal zapněte diagnostiku protokolování pro službu Azure Front Door. (V Azure Portal přejděte do části Diagnostika.)
  • Režim prevence: Pokud je WAF nakonfigurovaný tak, aby běžel v režimu prevence, waf provede zadanou akci, pokud požadavek odpovídá pravidlu. Všechny odpovídající požadavky se také protokolují v protokolech WAF.

Odpověď WAF pro blokované požadavky

Když WAF ve výchozím nastavení blokuje požadavek kvůli shodnému pravidlu, vrátí stavový kód 403 se zprávou "Požadavek je blokovaný". Pro protokolování se vrátí také referenční řetězec.

Když WAF blokuje požadavek, můžete definovat vlastní stavový kód odpovědi a zprávu odpovědi. Podporují se následující vlastní stavové kódy:

  • 200 OK
  • 403 – Zakázáno
  • Metoda 405 není povolena.
  • 406 Nepřijatelné
  • 429 – Příliš mnoho požadavků

Vlastní stavový kód odpovědi se zprávou s odpovědí je nastavení na úrovni zásad. Po nakonfigurování se všem blokovaným požadavkům zobrazí stejný stav vlastní odpovědi a zpráva o odpovědi.

Identifikátor URI pro akci přesměrování

Pokud je akce vybraná pro některé z pravidel obsažených v zásadách WAF, musíte definovat identifikátor URI, na REDIRECT který se požadavky přesměrují. Tento identifikátor URI přesměrování musí být platným webem HTTP(S). Po nakonfigurování se všechny požadavky odpovídající pravidlům REDIRECT s akcí přesměrují na určený web.

Další kroky

Naučte se definovat vlastní odpovědi WAF.