Параметры политики для Брандмауэр веб-приложений в Azure Front Door

  • Статья

Политика брандмауэра веб-приложения (WAF) позволяет управлять доступом к веб-приложениям с помощью набора настраиваемых и управляемых правил. Имя политики WAF должно быть уникальным. При попытке использовать существующее имя появляется ошибка проверки. Несколько параметров уровня политики применяются ко всем правилам, указанным для этой политики, как описано в этой статье.

Состояние WAF

Политика WAF для Azure Front Door имеет одно из следующих двух состояний:

  • Включен: Если политика включена, WAF активно проверяет входящие запросы и выполняет соответствующие действия в соответствии с определениями правил.
  • Отключен: Если политика отключена, проверка WAF приостанавливается. Входящие запросы обходят WAF и отправляются в серверную часть на основе маршрутизации Azure Front Door.

Режимы WAF

Вы можете настроить политику WAF для запуска в следующих двух режимах:

  • Режим обнаружения. При выполнении в режиме обнаружения WAF не выполняет никаких действий, кроме отслеживания и регистрации запроса и соответствующего правила WAF в журналах WAF. Включите диагностика ведения журнала для Azure Front Door при использовании портал Azure. (Перейдите в раздел Диагностика в портал Azure.)
  • Режим предотвращения. Если WAF настроен для запуска в режиме предотвращения, WAF выполняет указанное действие, если запрос соответствует правилу. Все запросы, для которых обнаружены совпадающие правила, также регистрируются в журналах WAF.

Ответ WAF для заблокированных запросов

По умолчанию, когда WAF блокирует запрос из-за соответствующего правила, он возвращает код состояния 403 с сообщением "Запрос заблокирован". Строка ссылки также возвращается для ведения журнала.

Вы можете определить пользовательский код состояния ответа и ответное сообщение, когда WAF блокирует запрос. Поддерживаются следующие пользовательские коды состояния.

  • 200 ОК
  • 403. Запрещено
  • 405 — метод запрещен
  • 406 — неприемлемо
  • 429 — слишком много запросов

Пользовательский код состояния ответа с ответным сообщением является параметром уровня политики. После настройки все заблокированные запросы получают одно и то же пользовательское состояние ответа и ответное сообщение.

URI для действия перенаправления

Необходимо определить универсальный код ресурса (URI) для перенаправления запросов, если REDIRECT действие выбрано для любого из правил, содержащихся в политике WAF. Этот URI перенаправления должен быть допустимым сайтом HTTP(S). После настройки все запросы, соответствующие правилам с действием REDIRECT , перенаправляются на указанный сайт.

Дальнейшие действия

Узнайте, как определить пользовательские ответы WAF.