Azure Web アプリケーション ファイアウォール (WAF) ポリシーの概要
Web アプリケーション ファイアウォール ポリシーには、すべての WAF 設定と構成が含まれています。 これには、除外、カスタム ルール、マネージド ルールなどがあります。 これらのポリシーは、アプリケーション ゲートウェイ (グローバル)、リスナー (サイトごと)、またはパスベースのルール (URI ごと) に関連付けられ、有効になります。
作成できるポリシーの数に制限はありません。 ポリシーを作成した場合は、アプリケーション ゲートウェイに関連付けて有効にする必要があります。 アプリケーション ゲートウェイ、リスナー、およびパスベースのルールの任意の組み合わせと関連付けることができます。
注意
Application Gateway WAF SKU には、2 つのバージョン (Application Gateway WAF_v1 と Application Gateway WAF_v2) があります。 WAF ポリシーの関連付けは、Application Gateway WAF_v2 SKU でのみサポートされます。
グローバル WAF ポリシー
グローバルに WAF ポリシーを関連付けると、Application Gateway WAF の背後にあるすべてのサイトは、同じマネージド ルール、カスタム ルール、除外、およびその他の構成済みの設定で保護されます。
1 つのポリシーをすべてのサイトに適用する場合は、そのポリシーをアプリケーション ゲートウェイに関連付けることができます。 「Application Gateway 用の Web アプリケーション ファイアウォール ポリシーの作成」で詳細を参照し、Azure portal を使用して WAF を作成し、適用してください。
サイトごとの WAF ポリシー
サイトごとの WAF ポリシーを使用すると、サイトごとのポリシーを使用して、1 つの WAF の背後にあるさまざまなセキュリティ ニーズを持つ複数のサイトを保護できます。 たとえば、WAF の背後に 5 つのサイトがある場合、5 つの WAF ポリシー (リスナーごとに 1 つ) を使用して、各サイトの除外、カスタム ルール、マネージド ルールセット、およびその他すべての WAF 設定をカスタマイズできます。
たとえば、アプリケーション ゲートウェイにグローバル ポリシーが適用されているとします。 次に、そのアプリケーション ゲートウェイのリスナーに別のポリシーを適用します。 このリスナーのポリシーは、そのリスナーに対してのみ有効になります。 アプリケーション ゲートウェイのグローバル ポリシーは、固有のポリシーが割り当てられていない他のすべてのリスナーおよびパスベースのルールに引き続き適用されます。
URI ごとのポリシー
URI レベルまでさらにカスタマイズする場合は、WAF ポリシーをパスベースのルールに関連付けることができます。 1 つのサイト内に異なるポリシーを必要とする特定のページがある場合は、特定の URI にのみ影響を与える WAF ポリシーに変更できます。 これは、支払いまたはサインイン ページや、WAF の背後にある他のサイトよりもさらに固有性の高い WAF ポリシーが必要な他の URI に適用される場合があります。
サイトごとの WAF ポリシーと同様に、固有性の高いポリシーの方が固有性の低いポリシーよりも優先されます。 つまり、URL パス マップに対する URI ごとのポリシーは、その上位にあるサイトごとまたはグローバルの WAF ポリシーよりも優先されます。
例
たとえば、contoso.com、fabrikam.com、adatum.com という 3 つのサイトがあり、すべて同じアプリケーション ゲートウェイの背後に配置されているとします。 3 つのサイトすべてに WAF を適用する予定ですが、顧客が製品にアクセスし、閲覧し、購入する場所である adatum.com には高度なセキュリティが必要です。
グローバル ポリシーを WAF に適用するには、いくつかの基本的な設定、除外、またはカスタム ルールを使用します。必要に応じて、何かの誤検知によってトラフィックがブロックされないようにします。 この場合、fabrikam.com と contoso.com は SQL バックエンドのない静的ページであるため、グローバル SQL インジェクション ルールを実行する必要はありません。 そのため、グローバル ポリシーでこれらのルールを無効にすることができます。
このグローバル ポリシーは contoso.com と fabrikam.com に適していますが、サインイン情報と支払いが処理される adatum.com については、より慎重にする必要があります。 サイトごとのポリシーを adatum リスナーに適用し、SQL ルールを実行したままにすることができます。 また、一部のトラフィックをブロックする Cookie があることを想定します。こうすることで、その Cookie の除外を作成して誤検知を止めることができます。
adatum.com/payments URI は、注意が必要な場所です。 そのため、その URI に別のポリシーを適用し、すべてのルールを有効のままにします。また、すべての除外も削除します。
この例では、2 つのサイトに適用されるグローバル ポリシーがあります。 1 つのサイトに適用されるサイトごとのポリシーと、1 つの固有のパスベースのルールに適用される URI ごとのポリシーがあります。 この例の対応する PowerShell については、「Azure PowerShell を使用してサイト別 WAF ポリシーを構成する」を参照してください。
既存の WAF 構成
新しい Web アプリケーション ファイアウォールの WAF 設定 (カスタム ルール、マネージド ルールセットの構成、除外など) はすべて WAF ポリシーに存在します。 既存の WAF がある場合、これらの設定がまだ WAF 構成にある可能性があります。 新しい WAF ポリシーへの移行の詳細については、「Azure PowerShell を使用して Web アプリケーションのファイアウォール ポリシーを移行する」を参照してください。