Vytvoření zásad firewallu webových aplikací pro Službu Application Gateway

  • Článek

Přidružení zásad WAF k naslouchacím procesům umožňuje, aby několik webů za jedním WAF bylo chráněno různými zásadami. Pokud je například za waf pět webů, můžete mít pět samostatných zásad WAF (jeden pro každého naslouchacího procesu), abyste přizpůsobili vyloučení, vlastní pravidla a sady spravovaných pravidel pro jeden web, aniž by to mělo vliv na ostatní čtyři. Pokud chcete, aby se jedna zásada vztahovala na všechny weby, můžete zásady jednoduše přidružit ke službě Application Gateway, nikoli k jednotlivým naslouchacím procesům, aby se použily globálně. Zásady se dají použít také na pravidlo směrování založené na cestě.

Můžete vytvořit tolik zásad, kolik chcete. Jakmile vytvoříte zásadu, musí být přidružená ke službě Application Gateway, aby se projevila, ale může být přidružená k jakékoli kombinaci služby Application Gateway a naslouchacích procesů.

Pokud má vaše služba Application Gateway přidruženou zásadu a pak k naslouchacímu procesu pro tuto službu Application Gateway přidružíte jinou zásadu, projeví se zásada naslouchacího procesu, ale jenom pro naslouchací procesy, ke kterým jsou přiřazené. Zásady služby Application Gateway se stále vztahují na všechny ostatní naslouchací procesy, které nemají přiřazené konkrétní zásady.

Poznámka:

Jakmile je zásada brány firewall přidružená k WAF, musí vždy existovat zásada přidružená k této WAF. Tuto zásadu můžete přepsat, ale zrušení přidružení zásady od WAF není zcela podporováno.

Všechna nová nastavení WAF firewallu webových aplikací (vlastní pravidla, konfigurace sady spravovaných pravidel, vyloučení atd.) jsou v rámci zásad WAF aktivní. Pokud máte existující WAF, tato nastavení můžou stále existovat v konfiguraci WAF. Postup přechodu na novou zásadu WAF najdete v části Upgrade konfigurace WAF na zásady WAF dále v tomto článku.

Vytvořte zásadu

Nejprve pomocí webu Azure Portal vytvořte základní zásadu WAF se spravovanou výchozí sadou pravidel (DRS).

  1. Na levé horní straně portálu vyberte Vytvořit prostředek. Vyhledejte WAF, vyberte Firewall webových aplikací a pak vyberte Vytvořit.

  2. Na stránce Vytvořit zásadu WAF na kartě Základy zadejte nebo vyberte následující informace a přijměte výchozí hodnoty pro zbývající nastavení:

    Nastavení Hodnota
    Zásady pro Místní WAF (Application Gateway)
    Předplatné Vyberte název předplatného.
    Skupina prostředků Vyberte skupinu prostředků.
    Název zásady Zadejte jedinečný název zásady WAF.

  3. Na kartě Přidružení vyberte Přidat přidružení a pak vyberte jedno z následujících nastavení:

    Nastavení Hodnota
    Application Gateway Vyberte aplikační bránu a pak vyberte Přidat.
    Naslouchací proces HTTP Vyberte aplikační bránu, vyberte naslouchací procesy a pak vyberte Přidat.
    Cesta trasy Vyberte aplikační bránu, vyberte naslouchací proces, vyberte pravidlo směrování a pak vyberte Přidat.

    Poznámka:

    Pokud přiřadíte zásadu službě Application Gateway (nebo naslouchacímu procesu), která už zásadu má, původní zásada se přepíše a nahradí novou zásadou.

  4. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

    WAF policy basics

Konfigurace pravidel WAF (volitelné)

Když vytvoříte zásadu WAF, ve výchozím nastavení je v režimu detekce . V režimu detekce WAF neblokuje žádné požadavky. Místo toho se odpovídající pravidla WAF protokolují v protokolech WAF. Pokud chcete zobrazit WAF v akci, můžete změnit nastavení režimu na Prevence. V režimu prevence jsou odpovídající pravidla definovaná ve vybraných sadách spravovaných pravidel microsoftu blokovaná nebo zaprotokolována v protokolech WAF.

Spravovaná pravidla

Pravidla OWASP spravovaná v Azure jsou ve výchozím nastavení povolená. Pokud chcete zakázat jednotlivá pravidla ve skupině pravidel, rozbalte pravidla v této skupině pravidel, zaškrtněte políčko před číslem pravidla a na kartě výše vyberte Zakázat .

Managed rules

Vlastní pravidla

Pokud chcete vytvořit vlastní pravidlo, vyberte Přidat vlastní pravidlo na kartě Vlastní pravidla . Otevře se stránka konfigurace vlastního pravidla. Následující snímek obrazovky ukazuje příklad vlastního pravidla nakonfigurovaného tak, aby blokoval požadavek, pokud řetězec dotazu obsahuje textový blokovací motiv.

Edit custom rule

Upgrade konfigurace WAF na zásady WAF

Pokud máte existující WAF, možná jste si všimli některých změn na portálu. Nejdřív musíte zjistit, jaký druh zásad jste povolili ve svém WAF. Existují tři potenciální stavy:

  1. Žádné zásady WAF
  2. Zásady pouze pro vlastní pravidla
  3. Zásady WAF

Stav WAF poznáte tak, že se na něj podíváte na portálu. Pokud je nastavení WAF viditelné a dá se změnit ze zobrazení Služby Application Gateway, je váš WAF ve stavu 1.

WAF configuration

Pokud vyberete Firewall webových aplikací a zobrazí se přidružené zásady, WAF je ve stavu 2 nebo 3. Pokud se po přechodu na zásadu zobrazí jenom vlastní pravidla a přidružené služby Application Gateway, jedná se o vlastní pravidla pouze zásady.

WAF custom rules

Pokud se také zobrazí zásady Nastavení a spravovaná pravidla, jedná se o úplnou zásadu firewallu webových aplikací.

WAF policy settings

Upgrade na zásady WAF

Pokud máte jenom vlastní pravidla zásad WAF, možná budete chtít přejít na novou zásadu WAF. V budoucnu zásady brány firewall podporují nastavení zásad WAF, sady spravovaných pravidel, vyloučení a zakázané skupiny pravidel. Všechny konfigurace WAF, které byly dříve provedeny uvnitř služby Application Gateway, se v podstatě provádějí prostřednictvím zásad WAF.

Úpravy vlastního pravidla jsou zakázány pouze zásady WAF. Pokud chcete upravit všechna nastavení WAF, jako je zakázání pravidel, přidávání vyloučení atd. Musíte upgradovat na nový prostředek zásad brány firewall nejvyšší úrovně.

Uděláte to tak, že vytvoříte zásadu firewallu webových aplikací a přidružíte ji k zvoleným službě Application Gateway a naslouchacím procesům. Tato nová zásada musí být úplně stejná jako aktuální konfigurace WAF, což znamená, že každé vlastní pravidlo, vyloučení, zakázané pravidlo atd. musí být zkopírováno do nové zásady, kterou vytváříte. Jakmile máte zásadu přidruženou ke službě Application Gateway, můžete dál provádět změny pravidel a nastavení WAF. Můžete to udělat také pomocí Azure PowerShellu. Další informace najdete v tématu Přidružení zásad WAF k existující službě Application Gateway.

Volitelně můžete použít skript migrace k upgradu na zásady WAF. Další informace najdete v tématu Upgrade zásad firewallu webových aplikací pomocí Azure PowerShellu.

Vynucení režimu

Pokud nechcete zkopírovat všechno do zásady, která je úplně stejná jako vaše aktuální konfigurace, můžete WAF nastavit do režimu vynucení. Spuštěním následujícího kódu Azure PowerShellu vložte WAF do vynuceného režimu. Pak můžete ke službě WAF přidružit jakékoli zásady WAF, i když nemají přesně stejná nastavení jako vaše konfigurace.

$appgw = Get-AzApplicationGateway -Name <your Application Gateway name> -ResourceGroupName <your Resource Group name>
$appgw.ForceFirewallPolicyAssociation = $true

Pak pokračujte postupem přidružení zásad WAF ke službě Application Gateway. Další informace najdete v tématu Přidružení zásad WAF k existující službě Application Gateway.

Další kroky

Přečtěte si další informace o skupinách a pravidlech crs firewallu webových aplikací.