Descrição geral da política do Azure Firewall de Aplicações Web (WAF)
Firewall de Aplicações Web Políticas contêm todas as definições e configurações da WAF. Isto inclui exclusões, regras personalizadas, regras geridas, etc. Estas políticas são então associadas a um gateway de aplicação (global), a um serviço de escuta (por site) ou a uma regra baseada no caminho (por URI) para que entrem em vigor.
Não existe limite para o número de políticas que pode criar. Quando cria uma política, esta tem de ser associada a um gateway de aplicação para entrar em vigor. Pode ser associada a qualquer combinação de gateways de aplicação, serviços de escuta e regras baseadas no caminho.
Nota
Gateway de Aplicação tem duas versões do sku WAF: Gateway de Aplicação WAF_v1 e Gateway de Aplicação WAF_v2. As associações de política da WAF só são suportadas para o SKU Gateway de Aplicação WAF_v2.
Política global de WAF
Quando associa uma política WAF globalmente, todos os sites por trás do Gateway de Aplicação WAF estão protegidos com as mesmas regras geridas, regras personalizadas, exclusões e quaisquer outras definições configuradas.
Se quiser aplicar uma única política a todos os sites, pode associar a política ao gateway de aplicação. Para obter mais informações, veja Create Firewall de Aplicações Web policies for Gateway de Aplicação to create and apply a WAF policy using the portal do Azure (Criar políticas de Firewall de Aplicações Web para Gateway de Aplicação criar e aplicar uma política WAF com o portal do Azure.
Política WAF por site
Com as políticas WAF por site, pode proteger vários sites com diferentes necessidades de segurança por trás de uma única WAF ao utilizar as políticas por site. Por exemplo, se existirem cinco sites por trás da WAF, poderá ter cinco políticas WAF separadas (uma para cada serviço de escuta) para personalizar as exclusões, as regras personalizadas, os conjuntos de regras geridos e todas as outras definições de WAF para cada site.
Digamos que o gateway de aplicação tem uma política global aplicada. Em seguida, aplica uma política diferente a um serviço de escuta no gateway de aplicação. A política do serviço de escuta é agora aplicada apenas a esse serviço de escuta. A política global do gateway de aplicação ainda se aplica a todos os outros serviços de escuta e às regras baseadas em caminhos que não têm nenhuma política específica atribuída.
Política por URI
Para uma personalização ainda maior até ao nível do URI, pode associar uma política WAF a uma regra baseada no caminho. Se existirem determinadas páginas num único site que exijam políticas diferentes, pode efetuar alterações à política de WAF que afetam apenas um determinado URI. Isto pode aplicar-se a uma página de pagamento ou início de sessão ou a quaisquer outros URIs que necessitem de uma política waf ainda mais específica do que os outros sites por trás da WAF.
Tal como acontece com as políticas WAF por site, as políticas mais específicas substituem as políticas menos específicas. Isto significa que uma política por URI num mapa de caminho de URL substitui qualquer política de WAF por site ou global acima da mesma.
Exemplo
Digamos que tem três sites: contoso.com, fabrikam.com e adatum.com todos atrás do mesmo gateway de aplicação. Quer que uma WAF seja aplicada aos três sites, mas precisa de segurança adicional com adatum.com porque é aí que os clientes visitam, navegam e compram produtos.
Pode aplicar uma política global à WAF, com algumas definições básicas, exclusões ou regras personalizadas, se necessário, para impedir que alguns falsos positivos bloqueiem o tráfego. Neste caso, não é necessário ter regras globais de injeção de SQL em execução porque fabrikam.com e contoso.com são páginas estáticas sem back-end SQL. Assim, pode desativar essas regras na política global.
Esta política global é adequada para contoso.com e fabrikam.com, mas tem de ter mais cuidado com adatum.com onde são processadas as informações de início de sessão e os pagamentos. Pode aplicar uma política por site ao serviço de escuta do adatum e deixar as regras do SQL em execução. Imagine também que existe um cookie a bloquear algum tráfego, para que possa criar uma exclusão para esse cookie para parar o falso positivo.
O URI adatum.com/payments é onde tem de ter cuidado. Por isso, aplique outra política nesse URI e deixe todas as regras ativadas e remova também todas as exclusões.
Neste exemplo, tem uma política global que se aplica a dois sites. Tem uma política por site que se aplica a um site e, em seguida, uma política por URI que se aplica a uma regra específica baseada no caminho. Veja Configurar políticas WAF por site com Azure PowerShell para o PowerShell correspondente para este exemplo.
Configurações de WAF existentes
Todas as novas definições de WAF do Firewall de Aplicações Web (regras personalizadas, configurações de conjuntos de regras geridas, exclusões, etc.) existem numa política WAF. Se tiver uma WAF existente, estas definições poderão ainda existir na configuração da WAF. Para obter mais informações sobre como mudar para a nova política waf, migre a Configuração da WAF para uma Política de WAF.