Omówienie zasad usługi Azure Web Application Firewall (WAF)
Web Application Firewall Zasady zawierają wszystkie ustawienia i konfiguracje zapory aplikacji internetowej. Obejmuje to wykluczenia, reguły niestandardowe, reguły zarządzane itd. Te zasady są następnie skojarzone z bramą aplikacji (globalną), odbiornikiem (na lokację) lub regułą opartą na ścieżkach (per-URI), aby zaczęły obowiązywać.
Nie ma limitu liczby zasad, które można utworzyć. Po utworzeniu zasad należy skojarzyć je z bramą aplikacji, aby zaczęły obowiązywać. Może być skojarzona z dowolną kombinacją bram aplikacji, odbiorników i reguł opartych na ścieżkach.
Uwaga
Application Gateway ma dwie wersje jednostki SKU zapory aplikacji internetowej: Application Gateway WAF_v1 i Application Gateway WAF_v2. Skojarzenia zasad zapory aplikacji internetowej są obsługiwane tylko dla jednostki SKU Application Gateway WAF_v2.
Globalne zasady zapory aplikacji internetowej
Po skojarzeniu zasad zapory aplikacji internetowej globalnie każda witryna za zaporą aplikacji internetowej Application Gateway jest chroniona za pomocą tych samych reguł zarządzanych, reguł niestandardowych, wykluczeń i innych skonfigurowanych ustawień.
Jeśli chcesz, aby do wszystkich lokacji zastosowano pojedyncze zasady, możesz skojarzyć je z bramą aplikacji. Aby uzyskać więcej informacji, zobacz Create Web Application Firewall policies for Application Gateway to create and apply a WAF policy using the Azure Portal (Tworzenie zasad Web Application Firewall dla Application Gateway w celu utworzenia i zastosowania zasad zapory aplikacji internetowej.
Zasady zapory aplikacji internetowej dla poszczególnych witryn
Za pomocą zasad zapory aplikacji internetowej dla poszczególnych witryn można chronić wiele witryn z różnymi potrzebami dotyczącymi zabezpieczeń w ramach jednej zapory aplikacji internetowej przy użyciu zasad dla poszczególnych witryn. Jeśli na przykład za zaporą aplikacji internetowej znajduje się pięć witryn, można mieć pięć oddzielnych zasad zapory aplikacji internetowej (jedną dla każdego odbiornika), aby dostosować wykluczenia, reguły niestandardowe, zarządzane zestawy reguł oraz wszystkie inne ustawienia zapory aplikacji internetowej dla każdej witryny.
Załóżmy, że do bramy aplikacji są zastosowane zasady globalne. Należy zastosować różne zasady do odbiornika w tej bramie aplikacji. Zasady odbiornika teraz zaczynają obowiązywać tylko dla tego odbiornika. Globalne zasady bramy aplikacji nadal dotyczą wszystkich innych odbiorników i reguł opartych na ścieżce, do których nie są przypisane określone zasady.
Zasady dla identyfikatora URI
Aby jeszcze bardziej dostosować do poziomu identyfikatora URI, można skojarzyć zasady zapory aplikacji internetowej z regułą opartą na ścieżkach. Jeśli w jednej witrynie istnieją pewne strony, które wymagają różnych zasad, możesz wprowadzić zmiany w zasadach zapory aplikacji internetowej, które mają wpływ tylko na dany identyfikator URI. Może to dotyczyć strony płatności lub logowania lub innych identyfikatorów URI, które wymagają jeszcze bardziej szczegółowych zasad zapory aplikacji internetowej niż inne witryny za zaporą aplikacji internetowej.
Podobnie jak w przypadku zasad zapory aplikacji internetowej dla poszczególnych witryn, bardziej szczegółowe zasady zastępują mniej szczegółowe. Oznacza to, że zasady dla poszczególnych identyfikatorów URI na mapie ścieżek URL zastępują wszystkie zasady zapory aplikacji internetowej dla poszczególnych witryn lub globalnych.
Przykład
Załóżmy, że masz trzy witryny: contoso.com, fabrikam.com i adatum.com wszystkie za tą samą bramą aplikacji. Chcesz zastosować zaporę aplikacji internetowej do wszystkich trzech witryn, ale potrzebujesz zabezpieczeń z adatum.com, ponieważ jest to miejsce, w którym klienci odwiedzają, przeglądają i kupują produkty.
W razie potrzeby można zastosować zasady globalne do zapory aplikacji internetowej z niektórymi podstawowymi ustawieniami, wykluczeniami lub regułami niestandardowymi, aby uniemożliwić blokowanie ruchu niektórych wyników fałszywie dodatnich. W takim przypadku nie ma potrzeby uruchamiania globalnych reguł iniekcji SQL, ponieważ fabrikam.com i contoso.com to strony statyczne bez zaplecza SQL. Dzięki temu można wyłączyć te reguły w zasadach globalnych.
Ta globalna zasada jest odpowiednia dla contoso.com i fabrikam.com, ale należy zachować ostrożność, adatum.com gdzie są obsługiwane informacje logowania i płatności. Zasady dla poszczególnych witryn można zastosować do odbiornika adatum i pozostawić uruchomione reguły SQL. Załóżmy również, że plik cookie blokuje jakiś ruch, więc możesz utworzyć wykluczenie dla tego pliku cookie, aby zatrzymać wynik fałszywie dodatni.
Identyfikator URI adatum.com/payments to miejsce, w którym należy zachować ostrożność. Dlatego zastosuj kolejne zasady dla tego identyfikatora URI i pozostaw włączone wszystkie reguły, a także usuń wszystkie wykluczenia.
W tym przykładzie masz zasady globalne, które mają zastosowanie do dwóch witryn. Masz zasady dla poszczególnych lokacji, które mają zastosowanie do jednej lokacji, a następnie zasady dla poszczególnych identyfikatorów URI, które mają zastosowanie do jednej konkretnej reguły opartej na ścieżkach. Zobacz Configure per-site WAF policies using Azure PowerShell for the corresponding PowerShell for this example (Konfigurowanie zasad zapory aplikacji internetowej dla lokacji przy użyciu Azure PowerShell dla odpowiedniego programu PowerShell).
Istniejące konfiguracje zapory aplikacji internetowej
Wszystkie nowe ustawienia zapory aplikacji internetowej Web Application Firewall (reguły niestandardowe, konfiguracje zestawu reguł zarządzanych, wykluczenia itd.) istnieją w zasadach zapory aplikacji internetowej. Jeśli masz istniejącą zaporę aplikacji internetowej, te ustawienia mogą nadal istnieć w konfiguracji zapory aplikacji internetowej. Aby uzyskać więcej informacji na temat przechodzenia do nowych zasad zapory aplikacji internetowej, migrowanie konfiguracji zapory aplikacji internetowej do zasad zapory aplikacji internetowej.