Azure Web Uygulaması Güvenlik Duvarı (WAF) ilkesine genel bakış
Web Uygulaması Güvenlik Duvarı İlkeleri tüm WAF ayarlarını ve yapılandırmalarını içerir. Buna dışlamalar, özel kurallar, yönetilen kurallar vb. dahildir. Bu ilkeler daha sonra uygulama ağ geçidi (genel), dinleyici (site başına) veya yol tabanlı bir kural (URI başına) ile ilişkilendirilir.
Oluşturabileceğiniz ilke sayısı sınırı yoktur. İlke oluşturduğunuzda, etkili olması için bir uygulama ağ geçidiyle ilişkilendirilmesi gerekir. Uygulama ağ geçitleri, dinleyiciler ve yol tabanlı kuralların herhangi bir bileşimiyle ilişkilendirilebilir.
Not
Application Gateway WAF sku'nun iki sürümü vardır: Application Gateway WAF_v1 ve Application Gateway WAF_v2. WAF ilke ilişkilendirmeleri yalnızca Application Gateway WAF_v2 sku'su için desteklenir.
Genel WAF ilkesi
Bir WAF ilkesini genel olarak ilişkilendirdiğinizde, Application Gateway WAF'nizin arkasındaki her site aynı yönetilen kurallar, özel kurallar, dışlamalar ve diğer yapılandırılmış ayarlarla korunur.
Tek bir ilkenin tüm sitelere uygulanmasını istiyorsanız, ilkeyi uygulama ağ geçidiyle ilişkilendirebilirsiniz. Daha fazla bilgi için bkz. Azure portal kullanarak WAF ilkesi oluşturmak ve uygulamak için Application Gateway için Web Uygulaması Güvenlik Duvarı ilkeleri oluşturma.
Site başına WAF ilkesi
Site başına uygulanan WAF ilkeleri sayesinde site başına uygulanan ilkeleri kullanarak farklı güvenlik gereksinimlerine sahip olan siteleri tek bir WAF arkasında koruyabilirsiniz. Örneğin WAF örneğinizin arkasında beş site varsa her bir site için dışlamaları, özel kuralları, yönetilen kural kümelerini ve diğer tüm WAF ayarlarını özelleştirmek için beş ayrı WAF ilkesi (her dinleyici için bir tane) oluşturabilirsiniz.
Uygulama ağ geçidinize genel ilke uyguladığınızı düşünelim. Sonrasında bu uygulama ağ geçidindeki bir dinleyiciye farklı bir ilke uygulayabilirsiniz. Dinleyiciye uyguladığınız ilke sadece o dinleyiciyi etkiler. Uygulama ağ geçidinin genel ilkesi, özel ilke atanmamış olan diğer tüm dinleyiciler ve yol tabanlı kurallar için geçerli olmaya devam eder.
URI başına ilkesi
Daha da fazla özelleştirme için URI düzeyine kadar bir WAF ilkesini yol tabanlı bir kuralla ilişkilendirebilirsiniz. Tek bir sitede farklı ilkeler gerektiren belirli sayfalar varsa, WAF ilkesinde yalnızca belirli bir URI'yi etkileyen değişiklikler yapabilirsiniz. Bu bir ödeme veya oturum açma sayfası ya da WAF'nizin arkasındaki diğer sitelerden daha belirli bir WAF ilkesine ihtiyaç duyan diğer URI'ler için geçerli olabilir.
Site başına WAF ilkelerde olduğu gibi, daha belirli ilkeler daha az belirli ilkeleri geçersiz kılar. Bu, URL yol eşlemesi üzerindeki URI başına ilkenin yukarıdaki site başına veya genel WAF ilkesini geçersiz k olduğu anlamına gelir.
Örnek
Üç siteniz olduğunu varsayalım: contoso.com, fabrikam.com ve tümünü aynı uygulama ağ geçidinin arkasında adatum.com. WaF'nin üç siteye de uygulanmasını istiyorsunuz, ancak müşterilerin ürünleri ziyaret ettiği, ürünlere göz attığı ve satın aldığı adatum.com güvenlik eklemeniz gerekiyor.
Bazı hatalı pozitif sonuçların trafiği engellemesini durdurmak için gerekirse bazı temel ayarlar, dışlamalar veya özel kurallarla WAF'ye genel bir ilke uygulayabilirsiniz. Bu durumda, fabrikam.com ve contoso.com SQL arka ucu olmayan statik sayfalar olduğundan genel SQL ekleme kurallarının çalıştırılması gerekmez. Böylece bu kuralları genel ilkede devre dışı bırakabilirsiniz.
Bu genel ilke contoso.com ve fabrikam.com için uygundur, ancak oturum açma bilgilerinin ve ödemelerinin işlendiği adatum.com daha dikkatli olmanız gerekir. Adatum dinleyicisine site başına bir ilke uygulayabilir ve SQL kurallarını çalışır durumda bırakabilirsiniz. Ayrıca, bazı trafiği engelleyen bir tanımlama bilgisi olduğunu varsayalım, böylece hatalı pozitif sonuçları durdurmak için bu tanımlama bilgisi için bir dışlama oluşturabilirsiniz.
adatum.com/payments URI'sini dikkatli olmanız gerekir. Bu nedenle bu URI'ye başka bir ilke uygulayın ve tüm kuralları etkin bırakın ve tüm dışlamaları kaldırın.
Bu örnekte, iki site için geçerli olan genel bir ilkeniz vardır. Bir site için geçerli olan bir site başına ilkeniz ve ardından belirli bir yol tabanlı kural için geçerli olan bir URI başına ilkeniz var. Bu örnek için bkz. İlgili PowerShell için Azure PowerShell kullanarak site başına WAF ilkelerini yapılandırma.
Mevcut WAF yapılandırmaları
Tüm yeni Web Uygulaması Güvenlik Duvarı WAF ayarları (özel kurallar, yönetilen kural kümesi yapılandırmaları, dışlamalar vb.) bir WAF ilkesinde bulunur. Mevcut bir WAF'niz varsa, bu ayarlar WAF yapılandırmanızda hala mevcut olabilir. Yeni WAF ilkesine geçme hakkında daha fazla bilgi için WAF Config'i WAF İlkesine Geçirme.