Přehled zásad Azure Web Application Firewall (WAF)
zásady Web Application Firewall obsahují všechna nastavení a konfigurace WAF. To zahrnuje vyloučení, vlastní pravidla, spravovaná pravidla atd. Tyto zásady se pak přidružují ke službě Application Gateway (globální), k naslouchacímu procesu (pro jednotlivé weby) nebo k pravidlu založenému na cestě (podle identifikátoru URI), aby se projevily.
Počet zásad, které můžete vytvořit, není nijak omezený. Když vytvoříte zásadu, musí být přidružená ke službě Application Gateway, aby se projevila. Může být přidružená k libovolné kombinaci aplikačních bran, naslouchacích procesů a pravidel založených na cestě.
Poznámka
Application Gateway má dvě verze skladové položky WAF: Application Gateway WAF_v1 a Application Gateway WAF_v2. Přidružení zásad WAF jsou podporována pouze pro Application Gateway WAF_v2 SKU.
Globální zásady WAF
Když zásady WAF přidružíte globálně, bude každá lokalita za Application Gateway WAF chráněná stejnými spravovanými pravidly, vlastními pravidly, vyloučeními a všemi dalšími nakonfigurovanými nastaveními.
Pokud chcete, aby jedna zásada platila pro všechny lokality, můžete ji přidružit ke službě Application Gateway. Další informace najdete v tématu Vytvoření zásad Web Application Firewall pro Application Gateway vytvoření a použití zásad WAF pomocí Azure Portal.
Zásady WAF pro jednotlivé weby
S využitím zásad WAF pro jednotlivé weby můžete zajistit ochranu několika webů s různými požadavky na zabezpečení za jediným WAF. Například pokud je za vaším WAF pět webů, můžete mít pět samostatných zásad WAF (pro každý naslouchací proces jednu) a přizpůsobit vyloučení, vlastní pravidla, spravované sady pravidel a všechna ostatní nastavení WAF pro jednotlivé weby.
Řekněme, že pro vaši službu Application Gateway platí globální zásady. Pak pro naslouchací proces v této službě Application Gateway použijete jiné zásady. Zásady tohoto naslouchacího procesu teď platí pouze pro tento naslouchací proces. Pro všechny ostatní naslouchací procesy a pravidla založená na cestě, ke kterým nejsou přiřazené konkrétní zásady, stále platí globální zásady služby Application Gateway.
Zásady pro jednotlivé identifikátory URI
Pokud chcete ještě více přizpůsobit úroveň identifikátoru URI, můžete zásady WAF přidružit k pravidlu založenému na cestě. Pokud existují určité stránky v rámci jednoho webu, které vyžadují různé zásady, můžete provést změny zásad WAF, které ovlivní pouze daný identifikátor URI. To se může týkat platební nebo přihlašovací stránky nebo jakýchkoli jiných identifikátorů URI, které vyžadují ještě konkrétnější zásady WAF než jiné weby za vaším WAF.
Stejně jako u zásad WAF pro jednotlivé weby mají konkrétnější zásady přednost před méně specifickými zásadami. To znamená, že zásady pro identifikátor URI na mapě cest adres URL přepíší všechny zásady WAF pro jednotlivé weby nebo globální zásady WAF nad ní.
Příklad
Řekněme, že máte za stejnou aplikační bránou tři weby: contoso.com, fabrikam.com a adatum.com. Chcete, aby se WAF použil na všechny tři weby, ale potřebujete přidat zabezpečení s adatum.com, protože právě tady zákazníci navštěvují, procházejí a nakupují produkty.
Pro WAF můžete použít globální zásady s některými základními nastaveními, vyloučeními nebo vlastními pravidly, pokud je to nutné, aby některé falešně pozitivní výsledky neblokovaly provoz. V tomto případě není potřeba mít spuštěná globální pravidla injektáže SQL, protože fabrikam.com a contoso.com jsou statické stránky bez back-endu SQL. Takže tato pravidla můžete v globálních zásadách zakázat.
Tato globální zásada je vhodná pro contoso.com a fabrikam.com, ale při adatum.com, kde se zpracovávají přihlašovací údaje a platby, musíte být opatrnější. Na naslouchací proces adatum můžete použít zásady pro jednotlivé weby a nechat pravidla SQL spuštěná. Předpokládejme také, že nějaký provoz blokuje soubor cookie, takže pro tento soubor cookie můžete vytvořit vyloučení, které zastaví falešně pozitivní výsledky.
U identifikátoru URI adatum.com/payments musíte být opatrní. Proto pro tento identifikátor URI použijte jinou zásadu, ponechte všechna pravidla povolená a také odeberte všechna vyloučení.
V tomto příkladu máte globální zásadu, která se vztahuje na dvě lokality. Máte zásadu pro jednotlivé lokality, která se vztahuje na jednu lokalitu, a pak zásadu pro identifikátor URI, která se vztahuje na jedno konkrétní pravidlo založené na cestě. Viz Konfigurace zásad WAF pro jednotlivé lokality pomocí Azure PowerShell pro odpovídající PowerShell v tomto příkladu.
Existující konfigurace WAF
Všechna nová nastavení WAF Web Application Firewall (vlastní pravidla, konfigurace sad spravovaných pravidel, vyloučení atd.) existují v zásadách WAF. Pokud máte existující WAF, můžou tato nastavení stále existovat v konfiguraci WAF. Další informace o přechodu na nové zásady WAF najdete v tématu Migrace konfigurace WAF na zásady WAF.