Overzicht van beleid voor Azure Web Application Firewall (WAF)
Web Application Firewall-beleid bevat alle WAF-instellingen en -configuraties. Dit omvat uitsluitingen, aangepaste regels, beheerde regels, enzovoort. Deze beleidsregels worden vervolgens gekoppeld aan een toepassingsgateway (globaal), een listener (per site) of een padgebaseerde regel (per URI) zodat ze van kracht worden.
Er is geen limiet voor het aantal beleidsregels dat u kunt maken. Wanneer u een beleid maakt, moet het worden gekoppeld aan een toepassingsgateway om van kracht te worden. Het kan worden gekoppeld aan elke combinatie van toepassingsgateways, listeners en padgebaseerde regels.
Notitie
Application Gateway heeft twee versies van de WAF-sKU: Application Gateway WAF_v1 en Application Gateway WAF_v2. WAF-beleidskoppelingen worden alleen ondersteund voor de Application Gateway WAF_v2 SKU.
Globaal WAF-beleid
Wanneer u een WAF-beleid globaal koppelt, wordt elke site achter uw Application Gateway WAF beveiligd met dezelfde beheerde regels, aangepaste regels, uitsluitingen en andere geconfigureerde instellingen.
Als u één beleid wilt toepassen op alle sites, kunt u het beleid koppelen aan de toepassingsgateway. Zie Create Web Application Firewall policies for Application Gateway to create and apply a WAF policy using the Azure Portal (Beleid Web Application Firewall maken voor Application Gateway om waf-beleid te maken en toe te passen met behulp van de Azure Portal) voor meer informatie.
WAF-beleid per site
Met per-site beleidsregels van WAF kunt u meerdere sites met verschillende beveiligingseisen beveiligen achter één WAF door gebruik te maken van per-site beleid. Als er zich bijvoorbeeld vijf sites achter uw WAF bevinden, kunt u vijf afzonderlijke WAF-beleidsregels (één voor elke listener) opstellen om de uitsluitingen, aangepaste regels, beheerde regelsets en alle andere WAF-instellingen per site aan te passen.
Stel dat er op uw toepassingsgateway een globaal beleid is toegepast. Vervolgens past u een ander beleid toe op een listener op die toepassingsgateway. Het beleid van de listener is dan alleen van kracht voor die listener. Het globale beleid van de toepassingsgateway is nog steeds van toepassing op alle andere listeners en op pad gebaseerde regels waaraan geen specifiek beleid is toegewezen.
Beleid per URI
Voor nog meer aanpassingen tot op URI-niveau kunt u een WAF-beleid koppelen aan een regel op basis van een pad. Als er bepaalde pagina's binnen één site zijn waarvoor ander beleid is vereist, kunt u wijzigingen aanbrengen in het WAF-beleid die alleen van invloed zijn op een bepaalde URI. Dit kan van toepassing zijn op een betalings- of aanmeldingspagina, of andere URI's waarvoor een nog specifieker WAF-beleid nodig is dan de andere sites achter uw WAF.
Net als bij WAF-beleid per site overschrijft meer specifiek beleid minder specifieke beleidsregels. Dit betekent dat een per-URI-beleid op een URL-padkaart elk waf-beleid per site of globaal WAF-beleid overschrijft.
Voorbeeld
Stel dat u drie sites hebt: contoso.com, fabrikam.com en adatum.com allemaal achter dezelfde toepassingsgateway. U wilt een WAF toepassen op alle drie de sites, maar u hebt extra beveiliging nodig met adatum.com omdat klanten daar producten bezoeken, bekijken en kopen.
U kunt een globaal beleid toepassen op de WAF, met een aantal basisinstellingen, uitsluitingen of aangepaste regels, indien nodig om te voorkomen dat sommige fout-positieven verkeer blokkeren. In dit geval is het niet nodig om globale SQL-injectieregels uit te voeren, omdat fabrikam.com en contoso.com statische pagina's zijn zonder SQL-back-end. U kunt deze regels dus uitschakelen in het globale beleid.
Dit algemene beleid is geschikt voor contoso.com en fabrikam.com, maar u moet voorzichtiger zijn met adatum.com waar aanmeldingsgegevens en betalingen worden verwerkt. U kunt beleid per site toepassen op de adatum-listener en de SQL-regels actief laten. Stel ook dat er een cookie is die verkeer blokkeert, zodat u een uitsluiting voor die cookie kunt maken om het fout-positieve te stoppen.
De adatum.com/payments-URI is waar u voorzichtig moet zijn. Pas dus een ander beleid toe op die URI en laat alle regels ingeschakeld en verwijder ook alle uitsluitingen.
In dit voorbeeld hebt u een globaal beleid dat van toepassing is op twee sites. U hebt een beleid per site dat van toepassing is op één site en vervolgens een per-URI-beleid dat van toepassing is op één specifieke padgebaseerde regel. Zie WAF-beleid per site configureren met behulp van Azure PowerShell voor de bijbehorende PowerShell voor dit voorbeeld.
Bestaande WAF-configuraties
Alle nieuwe WAF-instellingen van Web Application Firewall (aangepaste regels, configuraties van beheerde regelsets, uitsluitingen, enzovoort) bestaan in een WAF-beleid. Als u een bestaande WAF hebt, kunnen deze instellingen nog steeds aanwezig zijn in uw WAF-configuratie. Zie WAF-configuratie migreren naar een WAF-beleid voor meer informatie over het overstappen op het nieuwe WAF-beleid.