Sdílet prostřednictvím


Microsoft.Network ApplicationGatewayWebApplicationFirewallPolicies 2023-02-01

Definice prostředku Bicep

Typ prostředku ApplicationGatewayWebApplicationFirewallPolicies je možné nasadit s operacemi, které cílí:

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies, přidejte do šablony následující bicep.

resource symbolicname 'Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies@2023-02-01' = {
  location: 'string'
  name: 'string'
  properties: {
    customRules: [
      {
        action: 'string'
        groupByUserSession: [
          {
            groupByVariables: [
              {
                variableName: 'string'
              }
            ]
          }
        ]
        matchConditions: [
          {
            matchValues: [
              'string'
            ]
            matchVariables: [
              {
                selector: 'string'
                variableName: 'string'
              }
            ]
            negationConditon: bool
            operator: 'string'
            transforms: [
              'string'
            ]
          }
        ]
        name: 'string'
        priority: int
        rateLimitDuration: 'string'
        rateLimitThreshold: int
        ruleType: 'string'
        state: 'string'
      }
    ]
    managedRules: {
      exclusions: [
        {
          exclusionManagedRuleSets: [
            {
              ruleGroups: [
                {
                  ruleGroupName: 'string'
                  rules: [
                    {
                      ruleId: 'string'
                    }
                  ]
                }
              ]
              ruleSetType: 'string'
              ruleSetVersion: 'string'
            }
          ]
          matchVariable: 'string'
          selector: 'string'
          selectorMatchOperator: 'string'
        }
      ]
      managedRuleSets: [
        {
          ruleGroupOverrides: [
            {
              ruleGroupName: 'string'
              rules: [
                {
                  action: 'string'
                  ruleId: 'string'
                  state: 'string'
                }
              ]
            }
          ]
          ruleSetType: 'string'
          ruleSetVersion: 'string'
        }
      ]
    }
    policySettings: {
      customBlockResponseBody: 'string'
      customBlockResponseStatusCode: int
      fileUploadEnforcement: bool
      fileUploadLimitInMb: int
      logScrubbing: {
        scrubbingRules: [
          {
            matchVariable: 'string'
            selector: 'string'
            selectorMatchOperator: 'string'
            state: 'string'
          }
        ]
        state: 'string'
      }
      maxRequestBodySizeInKb: int
      mode: 'string'
      requestBodyCheck: bool
      requestBodyEnforcement: bool
      requestBodyInspectLimitInKB: int
      state: 'string'
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

Hodnoty vlastností

ExclusionManagedRule

Jméno Popis Hodnota
ruleId Identifikátor spravovaného pravidla string (povinné)

ExclusionManagedRuleGroup

Jméno Popis Hodnota
ruleGroupName Skupina spravovaných pravidel pro vyloučení. string (povinné)
pravidla Seznam pravidel, která budou vyloučena. Pokud není zadán žádný, všechna pravidla ve skupině budou vyloučena. ExclusionManagedRule[]

ExclusionManagedRuleSet

Jméno Popis Hodnota
ruleGroups Definuje skupiny pravidel, které se mají použít pro sadu pravidel. ExclusionManagedRuleGroup[]
ruleSetType Definuje typ sady pravidel, který se má použít. string (povinné)
ruleSetVersion Definuje verzi sady pravidel, která se má použít. string (povinné)

GroupByUserSession

Jméno Popis Hodnota
groupByVariables Seznam proměnných klauzulí group by GroupByVariable[] (povinné)

GroupByVariable

Jméno Popis Hodnota
variableName Proměnná klauzule User Session. ClientAddr
"Geografická poloha"
None (povinné)

ManagedRuleGroupOverride

Jméno Popis Hodnota
ruleGroupName Skupina spravovaných pravidel, která se má přepsat. string (povinné)
pravidla Seznam pravidel, která budou zakázaná Pokud ho nezadáte, všechna pravidla ve skupině budou zakázaná. ManagedRuleOverride[]

ManagedRuleOverride

Jméno Popis Hodnota
akce Popisuje akci přepsání, která se má použít, když se pravidlo shoduje. Povolit
"AnomálieScoring"
Blok
Log (Protokol)
ruleId Identifikátor spravovaného pravidla string (povinné)
stát Stav spravovaného pravidla. Pokud není zadáno, je výchozí hodnota Zakázaná. Zakázáno
Povoleno

ManagedRulesDefinition

Jméno Popis Hodnota
výluky Vyloučení, která se použijí na zásadu. OwaspCrsExclusionEntry []
managedRuleSets Sady spravovaných pravidel, které jsou přidružené k zásadě. ManagedRuleSet[] (povinné)

ManagedRuleSet

Jméno Popis Hodnota
ruleGroupOverrides Definuje přepsání skupiny pravidel, která se má použít u sady pravidel. ManagedRuleGroupOverride[]
ruleSetType Definuje typ sady pravidel, který se má použít. string (povinné)
ruleSetVersion Definuje verzi sady pravidel, která se má použít. string (povinné)

MatchCondition

Jméno Popis Hodnota
matchValues Porovná hodnotu. string[] (povinné)
matchVariables Seznam proměnných shody MatchVariable[] (povinné)
negationConditon Bez ohledu na to, jestli se jedná o negované podmínky, nebo ne. Bool
operátor Operátor, který se má shodovat. "Any" (Jakýkoli)
"StartsWith"
Obsahuje
"EndsWith"
"Rovná se"
'GeoMatch'
"GreaterThan"
"GreaterThanOrEqual"
IpMatch
"LessThan"
"LessThanOrEqual"
Regex (povinné)
transformuje Seznam transformací Řetězcové pole obsahující některou z těchto možností:
HtmlEntityDecode
Malá písmena
RemoveNulls
Střih
Velká písmena
'UrlDecode'
UrlEncode

MatchVariable

Jméno Popis Hodnota
volič Selektor proměnné shody. řetězec
variableName Porovná proměnnou. PostArgs
'QueryString'
RemoteAddr
"RequestBody"
RequestCookies
"RequestHeaders"
RequestMethod
RequestUri (povinné)

Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies

Jméno Popis Hodnota
umístění Umístění prostředku řetězec
Jméno Název prostředku řetězec

Omezení:
Maximální délka = (povinné)
vlastnosti Vlastnosti zásad firewallu webových aplikací WebApplicationFirewallPolicyPropertiesFormat
visačky Značky prostředků Slovník názvů a hodnot značek Viz Značky v šablonách

OwaspCrsExclusionEntry

Jméno Popis Hodnota
exclusionManagedRuleSets Sady spravovaných pravidel, které jsou přidružené k vyloučení. ExclusionManagedRuleSet[]
matchVariable Proměnná, která se má vyloučit. RequestArgKeys
RequestArgNames
RequestArgValues
RequestCookieKeys
RequestCookieNames
RequestCookieValues
RequestHeaderKeys
RequestHeaderNames
RequestHeaderValues (povinné)
volič Pokud matchVariable je kolekce, operátor použitý k určení prvků v kolekci toto vyloučení platí. string (povinné)
selectorMatchOperator Pokud je matchVariable kolekcí, pomocí selektoru určete, na které prvky v kolekci se toto vyloučení vztahuje. Obsahuje
"EndsWith"
"Rovná se"
EqualsAny
StartsWith (povinné)

PolicySettings

Jméno Popis Hodnota
customBlockResponseBody Pokud je typ akce blokovaný, může zákazník přepsat text odpovědi. Tělo musí být zadáno v kódování base64. řetězec

Omezení:
Maximální délka =
Model = ^(?:[A-Za-z0-9+/]{4})*(?:[A-Za-z0-9+/]{2}==|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{4})$
customBlockResponseStatusCode Pokud je typ akce blokovaný, může zákazník přepsat stavový kód odpovědi. Int

Omezení:
Minimální hodnota = 0
fileUploadEnforcement Určuje, jestli povolí WAF vynucovat limity nahrávání souborů. Bool
fileUploadLimitInMb Maximální velikost nahrání souboru v MB pro WAF Int

Omezení:
Minimální hodnota = 0
logScrubbing Čištění citlivých polí protokolu policySettingsLogScrubbing
maxRequestBodySizeInKb Maximální velikost textu požadavku v kB pro WAF Int

Omezení:
Minimální hodnota = 8
režim Režim zásady. Detekce
Prevence
requestBodyCheck Určuje, jestli má WAF povolit kontrolu textu požadavku. Bool
requestBodyEnforcement Určuje, jestli waF umožňuje vynucovat limity textu požadavku. Bool
requestBodyInspectLimitInKB Maximální limit kontroly v kB pro kontrolu subjektu žádosti o WAF. Int
stát Stav zásady. Zakázáno
Povoleno

PolicySettingsLogScrubbing

Jméno Popis Hodnota
scrubbingRules Pravidla, která se použijí na protokoly pro čištění. WebApplicationFirewallScrubbingRules[]
stát Stav konfigurace scrubbingu protokolu Výchozí hodnota je Povoleno. Zakázáno
Povoleno

Značky prostředků

Jméno Popis Hodnota

WebApplicationFirewallCustomRule

Jméno Popis Hodnota
akce Typ akcí Povolit
Blok
Log (povinné)
groupByUserSession Seznam skupin identifikátorů relace uživatele podle klauzulí GroupByUserSession[]
matchConditions Seznam podmínek shody MatchCondition[] (povinné)
Jméno Název prostředku, který je v rámci zásady jedinečný. Tento název lze použít pro přístup k prostředku. řetězec

Omezení:
Maximální délka =
priorita Priorita pravidla Pravidla s nižší hodnotou se vyhodnotí před pravidly s vyšší hodnotou. int (povinné)
rateLimitDuration Doba trvání, pro kterou se použijí zásady omezení četnosti. Platí pouze v případech, kdy ruleType je RateLimitRule. "FiveMins"
"OneMin"
rateLimitThreshold Prahová hodnota limitu rychlosti, která se použije v případě, že ruleType je RateLimitRule. Musí být větší než nebo rovno 1. Int
ruleType Typ pravidla. Neplatné
'MatchRule'
RateLimitRule (povinné)
stát Popisuje, jestli je vlastní pravidlo v povoleném nebo zakázaném stavu. Pokud není zadáno, nastaví se výchozí hodnota Povoleno. Zakázáno
Povoleno

WebApplicationFirewallPolicyPropertiesFormat

Jméno Popis Hodnota
customRules Vlastní pravidla v zásadách. WebApplicationFirewallCustomRule[]
spravované pravidla Popisuje strukturu managedRules. ManagedRulesDefinition (povinné)
policySettings PolicySettings pro zásady. PolicySettings

WebApplicationFirewallScrubbingRules

Jméno Popis Hodnota
matchVariable Proměnná, která se má v protokolech vymýšlí. RequestArgNames
RequestCookieNames
RequestHeaderNames
RequestIPAddress
RequestJSONArgNames
RequestPostArgNames (povinné)
volič Pokud matchVariable je kolekce, operátor použitý k určení prvků v kolekci toto pravidlo platí. řetězec
selectorMatchOperator Pokud je matchVariable kolekcí, pomocí selektoru určete, na které prvky v kolekci se toto pravidlo vztahuje. "Rovná se"
EqualsAny (povinné)
stát Definuje stav pravidla scrubbingu protokolu. Výchozí hodnota je Povoleno. Zakázáno
Povoleno

Ukázky rychlého startu

Následující ukázky rychlého startu nasadí tento typ prostředku.

Soubor Bicep Popis
clusterU AKS se službou NAT Gateway a služby Application Gateway Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a službu Application Gateway pro příchozí připojení.
clusterU AKS s kontrolerem příchozího přenosu dat služby Application Gateway Tato ukázka ukazuje, jak nasadit cluster AKS se službou Application Gateway, kontrolerem příchozího přenosu dat služby Application Gateway, službou Azure Container Registry, Log Analytics a službou Key Vault.
Application Gateway s waF a zásadami brány firewall Tato šablona vytvoří službu Application Gateway s nakonfigurovanou bránou WAF spolu se zásadami brány firewall.
vytvoření azure WAF v2 ve službě Azure Application Gateway Tato šablona vytvoří firewall webových aplikací Azure v2 ve službě Azure Application Gateway se dvěma servery s Windows Serverem 2016 v back-endovém fondu.
služby Front Door Standard/Premium s počátečním služby Application Gateway Tato šablona vytvoří službu Front Door Standard/Premium a instanci služby Application Gateway a použije zásadu NSG a WAF k ověření, že provoz prošel původem služby Front Door.
Front Door s instancemi kontejnerů a služby Application Gateway Tato šablona vytvoří front Door Standard/Premium se skupinou kontejnerů a službou Application Gateway.

Definice prostředku šablony ARM

Typ prostředku ApplicationGatewayWebApplicationFirewallPolicies je možné nasadit s operacemi, které cílí:

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies, přidejte do šablony následující JSON.

{
  "type": "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies",
  "apiVersion": "2023-02-01",
  "name": "string",
  "location": "string",
  "properties": {
    "customRules": [
      {
        "action": "string",
        "groupByUserSession": [
          {
            "groupByVariables": [
              {
                "variableName": "string"
              }
            ]
          }
        ],
        "matchConditions": [
          {
            "matchValues": [ "string" ],
            "matchVariables": [
              {
                "selector": "string",
                "variableName": "string"
              }
            ],
            "negationConditon": "bool",
            "operator": "string",
            "transforms": [ "string" ]
          }
        ],
        "name": "string",
        "priority": "int",
        "rateLimitDuration": "string",
        "rateLimitThreshold": "int",
        "ruleType": "string",
        "state": "string"
      }
    ],
    "managedRules": {
      "exclusions": [
        {
          "exclusionManagedRuleSets": [
            {
              "ruleGroups": [
                {
                  "ruleGroupName": "string",
                  "rules": [
                    {
                      "ruleId": "string"
                    }
                  ]
                }
              ],
              "ruleSetType": "string",
              "ruleSetVersion": "string"
            }
          ],
          "matchVariable": "string",
          "selector": "string",
          "selectorMatchOperator": "string"
        }
      ],
      "managedRuleSets": [
        {
          "ruleGroupOverrides": [
            {
              "ruleGroupName": "string",
              "rules": [
                {
                  "action": "string",
                  "ruleId": "string",
                  "state": "string"
                }
              ]
            }
          ],
          "ruleSetType": "string",
          "ruleSetVersion": "string"
        }
      ]
    },
    "policySettings": {
      "customBlockResponseBody": "string",
      "customBlockResponseStatusCode": "int",
      "fileUploadEnforcement": "bool",
      "fileUploadLimitInMb": "int",
      "logScrubbing": {
        "scrubbingRules": [
          {
            "matchVariable": "string",
            "selector": "string",
            "selectorMatchOperator": "string",
            "state": "string"
          }
        ],
        "state": "string"
      },
      "maxRequestBodySizeInKb": "int",
      "mode": "string",
      "requestBodyCheck": "bool",
      "requestBodyEnforcement": "bool",
      "requestBodyInspectLimitInKB": "int",
      "state": "string"
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

Hodnoty vlastností

ExclusionManagedRule

Jméno Popis Hodnota
ruleId Identifikátor spravovaného pravidla string (povinné)

ExclusionManagedRuleGroup

Jméno Popis Hodnota
ruleGroupName Skupina spravovaných pravidel pro vyloučení. string (povinné)
pravidla Seznam pravidel, která budou vyloučena. Pokud není zadán žádný, všechna pravidla ve skupině budou vyloučena. ExclusionManagedRule[]

ExclusionManagedRuleSet

Jméno Popis Hodnota
ruleGroups Definuje skupiny pravidel, které se mají použít pro sadu pravidel. ExclusionManagedRuleGroup[]
ruleSetType Definuje typ sady pravidel, který se má použít. string (povinné)
ruleSetVersion Definuje verzi sady pravidel, která se má použít. string (povinné)

GroupByUserSession

Jméno Popis Hodnota
groupByVariables Seznam proměnných klauzulí group by GroupByVariable[] (povinné)

GroupByVariable

Jméno Popis Hodnota
variableName Proměnná klauzule User Session. ClientAddr
"Geografická poloha"
None (povinné)

ManagedRuleGroupOverride

Jméno Popis Hodnota
ruleGroupName Skupina spravovaných pravidel, která se má přepsat. string (povinné)
pravidla Seznam pravidel, která budou zakázaná Pokud ho nezadáte, všechna pravidla ve skupině budou zakázaná. ManagedRuleOverride[]

ManagedRuleOverride

Jméno Popis Hodnota
akce Popisuje akci přepsání, která se má použít, když se pravidlo shoduje. Povolit
"AnomálieScoring"
Blok
Log (Protokol)
ruleId Identifikátor spravovaného pravidla string (povinné)
stát Stav spravovaného pravidla. Pokud není zadáno, je výchozí hodnota Zakázaná. Zakázáno
Povoleno

ManagedRulesDefinition

Jméno Popis Hodnota
výluky Vyloučení, která se použijí na zásadu. OwaspCrsExclusionEntry []
managedRuleSets Sady spravovaných pravidel, které jsou přidružené k zásadě. ManagedRuleSet[] (povinné)

ManagedRuleSet

Jméno Popis Hodnota
ruleGroupOverrides Definuje přepsání skupiny pravidel, která se má použít u sady pravidel. ManagedRuleGroupOverride[]
ruleSetType Definuje typ sady pravidel, který se má použít. string (povinné)
ruleSetVersion Definuje verzi sady pravidel, která se má použít. string (povinné)

MatchCondition

Jméno Popis Hodnota
matchValues Porovná hodnotu. string[] (povinné)
matchVariables Seznam proměnných shody MatchVariable[] (povinné)
negationConditon Bez ohledu na to, jestli se jedná o negované podmínky, nebo ne. Bool
operátor Operátor, který se má shodovat. "Any" (Jakýkoli)
"StartsWith"
Obsahuje
"EndsWith"
"Rovná se"
'GeoMatch'
"GreaterThan"
"GreaterThanOrEqual"
IpMatch
"LessThan"
"LessThanOrEqual"
Regex (povinné)
transformuje Seznam transformací Řetězcové pole obsahující některou z těchto možností:
HtmlEntityDecode
Malá písmena
RemoveNulls
Střih
Velká písmena
'UrlDecode'
UrlEncode

MatchVariable

Jméno Popis Hodnota
volič Selektor proměnné shody. řetězec
variableName Porovná proměnnou. PostArgs
'QueryString'
RemoteAddr
"RequestBody"
RequestCookies
"RequestHeaders"
RequestMethod
RequestUri (povinné)

Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies

Jméno Popis Hodnota
apiVersion Verze rozhraní API '2023-02-01'
umístění Umístění prostředku řetězec
Jméno Název prostředku řetězec

Omezení:
Maximální délka = (povinné)
vlastnosti Vlastnosti zásad firewallu webových aplikací WebApplicationFirewallPolicyPropertiesFormat
visačky Značky prostředků Slovník názvů a hodnot značek Viz Značky v šablonách
typ Typ prostředku Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies

OwaspCrsExclusionEntry

Jméno Popis Hodnota
exclusionManagedRuleSets Sady spravovaných pravidel, které jsou přidružené k vyloučení. ExclusionManagedRuleSet[]
matchVariable Proměnná, která se má vyloučit. RequestArgKeys
RequestArgNames
RequestArgValues
RequestCookieKeys
RequestCookieNames
RequestCookieValues
RequestHeaderKeys
RequestHeaderNames
RequestHeaderValues (povinné)
volič Pokud matchVariable je kolekce, operátor použitý k určení prvků v kolekci toto vyloučení platí. string (povinné)
selectorMatchOperator Pokud je matchVariable kolekcí, pomocí selektoru určete, na které prvky v kolekci se toto vyloučení vztahuje. Obsahuje
"EndsWith"
"Rovná se"
EqualsAny
StartsWith (povinné)

PolicySettings

Jméno Popis Hodnota
customBlockResponseBody Pokud je typ akce blokovaný, může zákazník přepsat text odpovědi. Tělo musí být zadáno v kódování base64. řetězec

Omezení:
Maximální délka =
Model = ^(?:[A-Za-z0-9+/]{4})*(?:[A-Za-z0-9+/]{2}==|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{4})$
customBlockResponseStatusCode Pokud je typ akce blokovaný, může zákazník přepsat stavový kód odpovědi. Int

Omezení:
Minimální hodnota = 0
fileUploadEnforcement Určuje, jestli povolí WAF vynucovat limity nahrávání souborů. Bool
fileUploadLimitInMb Maximální velikost nahrání souboru v MB pro WAF Int

Omezení:
Minimální hodnota = 0
logScrubbing Čištění citlivých polí protokolu policySettingsLogScrubbing
maxRequestBodySizeInKb Maximální velikost textu požadavku v kB pro WAF Int

Omezení:
Minimální hodnota = 8
režim Režim zásady. Detekce
Prevence
requestBodyCheck Určuje, jestli má WAF povolit kontrolu textu požadavku. Bool
requestBodyEnforcement Určuje, jestli waF umožňuje vynucovat limity textu požadavku. Bool
requestBodyInspectLimitInKB Maximální limit kontroly v kB pro kontrolu subjektu žádosti o WAF. Int
stát Stav zásady. Zakázáno
Povoleno

PolicySettingsLogScrubbing

Jméno Popis Hodnota
scrubbingRules Pravidla, která se použijí na protokoly pro čištění. WebApplicationFirewallScrubbingRules[]
stát Stav konfigurace scrubbingu protokolu Výchozí hodnota je Povoleno. Zakázáno
Povoleno

Značky prostředků

Jméno Popis Hodnota

WebApplicationFirewallCustomRule

Jméno Popis Hodnota
akce Typ akcí Povolit
Blok
Log (povinné)
groupByUserSession Seznam skupin identifikátorů relace uživatele podle klauzulí GroupByUserSession[]
matchConditions Seznam podmínek shody MatchCondition[] (povinné)
Jméno Název prostředku, který je v rámci zásady jedinečný. Tento název lze použít pro přístup k prostředku. řetězec

Omezení:
Maximální délka =
priorita Priorita pravidla Pravidla s nižší hodnotou se vyhodnotí před pravidly s vyšší hodnotou. int (povinné)
rateLimitDuration Doba trvání, pro kterou se použijí zásady omezení četnosti. Platí pouze v případech, kdy ruleType je RateLimitRule. "FiveMins"
"OneMin"
rateLimitThreshold Prahová hodnota limitu rychlosti, která se použije v případě, že ruleType je RateLimitRule. Musí být větší než nebo rovno 1. Int
ruleType Typ pravidla. Neplatné
'MatchRule'
RateLimitRule (povinné)
stát Popisuje, jestli je vlastní pravidlo v povoleném nebo zakázaném stavu. Pokud není zadáno, nastaví se výchozí hodnota Povoleno. Zakázáno
Povoleno

WebApplicationFirewallPolicyPropertiesFormat

Jméno Popis Hodnota
customRules Vlastní pravidla v zásadách. WebApplicationFirewallCustomRule[]
spravované pravidla Popisuje strukturu managedRules. ManagedRulesDefinition (povinné)
policySettings PolicySettings pro zásady. PolicySettings

WebApplicationFirewallScrubbingRules

Jméno Popis Hodnota
matchVariable Proměnná, která se má v protokolech vymýšlí. RequestArgNames
RequestCookieNames
RequestHeaderNames
RequestIPAddress
RequestJSONArgNames
RequestPostArgNames (povinné)
volič Pokud matchVariable je kolekce, operátor použitý k určení prvků v kolekci toto pravidlo platí. řetězec
selectorMatchOperator Pokud je matchVariable kolekcí, pomocí selektoru určete, na které prvky v kolekci se toto pravidlo vztahuje. "Rovná se"
EqualsAny (povinné)
stát Definuje stav pravidla scrubbingu protokolu. Výchozí hodnota je Povoleno. Zakázáno
Povoleno

Šablony pro rychlý start

Následující šablony pro rychlý start nasazují tento typ prostředku.

Šablona Popis
clusterU AKS se službou NAT Gateway a služby Application Gateway

nasazení do Azure
Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a službu Application Gateway pro příchozí připojení.
clusterU AKS s kontrolerem příchozího přenosu dat služby Application Gateway

nasazení do Azure
Tato ukázka ukazuje, jak nasadit cluster AKS se službou Application Gateway, kontrolerem příchozího přenosu dat služby Application Gateway, službou Azure Container Registry, Log Analytics a službou Key Vault.
Application Gateway s waF a zásadami brány firewall

nasazení do Azure
Tato šablona vytvoří službu Application Gateway s nakonfigurovanou bránou WAF spolu se zásadami brány firewall.
vytvoření azure WAF v2 ve službě Azure Application Gateway

nasazení do Azure
Tato šablona vytvoří firewall webových aplikací Azure v2 ve službě Azure Application Gateway se dvěma servery s Windows Serverem 2016 v back-endovém fondu.
služby Front Door Standard/Premium s počátečním služby Application Gateway

nasazení do Azure
Tato šablona vytvoří službu Front Door Standard/Premium a instanci služby Application Gateway a použije zásadu NSG a WAF k ověření, že provoz prošel původem služby Front Door.
Front Door s instancemi kontejnerů a služby Application Gateway

nasazení do Azure
Tato šablona vytvoří front Door Standard/Premium se skupinou kontejnerů a službou Application Gateway.

Definice prostředku Terraformu (poskytovatel AzAPI)

Typ prostředku ApplicationGatewayWebApplicationFirewallPolicies je možné nasadit s operacemi, které cílí:

  • skupiny prostředků

Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.

Formát prostředku

Pokud chcete vytvořit prostředek Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies, přidejte do šablony následující Terraform.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies@2023-02-01"
  name = "string"
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = jsonencode({
    properties = {
      customRules = [
        {
          action = "string"
          groupByUserSession = [
            {
              groupByVariables = [
                {
                  variableName = "string"
                }
              ]
            }
          ]
          matchConditions = [
            {
              matchValues = [
                "string"
              ]
              matchVariables = [
                {
                  selector = "string"
                  variableName = "string"
                }
              ]
              negationConditon = bool
              operator = "string"
              transforms = [
                "string"
              ]
            }
          ]
          name = "string"
          priority = int
          rateLimitDuration = "string"
          rateLimitThreshold = int
          ruleType = "string"
          state = "string"
        }
      ]
      managedRules = {
        exclusions = [
          {
            exclusionManagedRuleSets = [
              {
                ruleGroups = [
                  {
                    ruleGroupName = "string"
                    rules = [
                      {
                        ruleId = "string"
                      }
                    ]
                  }
                ]
                ruleSetType = "string"
                ruleSetVersion = "string"
              }
            ]
            matchVariable = "string"
            selector = "string"
            selectorMatchOperator = "string"
          }
        ]
        managedRuleSets = [
          {
            ruleGroupOverrides = [
              {
                ruleGroupName = "string"
                rules = [
                  {
                    action = "string"
                    ruleId = "string"
                    state = "string"
                  }
                ]
              }
            ]
            ruleSetType = "string"
            ruleSetVersion = "string"
          }
        ]
      }
      policySettings = {
        customBlockResponseBody = "string"
        customBlockResponseStatusCode = int
        fileUploadEnforcement = bool
        fileUploadLimitInMb = int
        logScrubbing = {
          scrubbingRules = [
            {
              matchVariable = "string"
              selector = "string"
              selectorMatchOperator = "string"
              state = "string"
            }
          ]
          state = "string"
        }
        maxRequestBodySizeInKb = int
        mode = "string"
        requestBodyCheck = bool
        requestBodyEnforcement = bool
        requestBodyInspectLimitInKB = int
        state = "string"
      }
    }
  })
}

Hodnoty vlastností

ExclusionManagedRule

Jméno Popis Hodnota
ruleId Identifikátor spravovaného pravidla string (povinné)

ExclusionManagedRuleGroup

Jméno Popis Hodnota
ruleGroupName Skupina spravovaných pravidel pro vyloučení. string (povinné)
pravidla Seznam pravidel, která budou vyloučena. Pokud není zadán žádný, všechna pravidla ve skupině budou vyloučena. ExclusionManagedRule[]

ExclusionManagedRuleSet

Jméno Popis Hodnota
ruleGroups Definuje skupiny pravidel, které se mají použít pro sadu pravidel. ExclusionManagedRuleGroup[]
ruleSetType Definuje typ sady pravidel, který se má použít. string (povinné)
ruleSetVersion Definuje verzi sady pravidel, která se má použít. string (povinné)

GroupByUserSession

Jméno Popis Hodnota
groupByVariables Seznam proměnných klauzulí group by GroupByVariable[] (povinné)

GroupByVariable

Jméno Popis Hodnota
variableName Proměnná klauzule User Session. ClientAddr
"Geografická poloha"
None (povinné)

ManagedRuleGroupOverride

Jméno Popis Hodnota
ruleGroupName Skupina spravovaných pravidel, která se má přepsat. string (povinné)
pravidla Seznam pravidel, která budou zakázaná Pokud ho nezadáte, všechna pravidla ve skupině budou zakázaná. ManagedRuleOverride[]

ManagedRuleOverride

Jméno Popis Hodnota
akce Popisuje akci přepsání, která se má použít, když se pravidlo shoduje. Povolit
"AnomálieScoring"
Blok
Log (Protokol)
ruleId Identifikátor spravovaného pravidla string (povinné)
stát Stav spravovaného pravidla. Pokud není zadáno, je výchozí hodnota Zakázaná. Zakázáno
Povoleno

ManagedRulesDefinition

Jméno Popis Hodnota
výluky Vyloučení, která se použijí na zásadu. OwaspCrsExclusionEntry []
managedRuleSets Sady spravovaných pravidel, které jsou přidružené k zásadě. ManagedRuleSet[] (povinné)

ManagedRuleSet

Jméno Popis Hodnota
ruleGroupOverrides Definuje přepsání skupiny pravidel, která se má použít u sady pravidel. ManagedRuleGroupOverride[]
ruleSetType Definuje typ sady pravidel, který se má použít. string (povinné)
ruleSetVersion Definuje verzi sady pravidel, která se má použít. string (povinné)

MatchCondition

Jméno Popis Hodnota
matchValues Porovná hodnotu. string[] (povinné)
matchVariables Seznam proměnných shody MatchVariable[] (povinné)
negationConditon Bez ohledu na to, jestli se jedná o negované podmínky, nebo ne. Bool
operátor Operátor, který se má shodovat. "Any" (Jakýkoli)
"StartsWith"
Obsahuje
"EndsWith"
"Rovná se"
'GeoMatch'
"GreaterThan"
"GreaterThanOrEqual"
IpMatch
"LessThan"
"LessThanOrEqual"
Regex (povinné)
transformuje Seznam transformací Řetězcové pole obsahující některou z těchto možností:
HtmlEntityDecode
Malá písmena
RemoveNulls
Střih
Velká písmena
'UrlDecode'
UrlEncode

MatchVariable

Jméno Popis Hodnota
volič Selektor proměnné shody. řetězec
variableName Porovná proměnnou. PostArgs
'QueryString'
RemoteAddr
"RequestBody"
RequestCookies
"RequestHeaders"
RequestMethod
RequestUri (povinné)

Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies

Jméno Popis Hodnota
umístění Umístění prostředku řetězec
Jméno Název prostředku řetězec

Omezení:
Maximální délka = (povinné)
vlastnosti Vlastnosti zásad firewallu webových aplikací WebApplicationFirewallPolicyPropertiesFormat
visačky Značky prostředků Slovník názvů a hodnot značek
typ Typ prostředku Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies@2023-02-01

OwaspCrsExclusionEntry

Jméno Popis Hodnota
exclusionManagedRuleSets Sady spravovaných pravidel, které jsou přidružené k vyloučení. ExclusionManagedRuleSet[]
matchVariable Proměnná, která se má vyloučit. RequestArgKeys
RequestArgNames
RequestArgValues
RequestCookieKeys
RequestCookieNames
RequestCookieValues
RequestHeaderKeys
RequestHeaderNames
RequestHeaderValues (povinné)
volič Pokud matchVariable je kolekce, operátor použitý k určení prvků v kolekci toto vyloučení platí. string (povinné)
selectorMatchOperator Pokud je matchVariable kolekcí, pomocí selektoru určete, na které prvky v kolekci se toto vyloučení vztahuje. Obsahuje
"EndsWith"
"Rovná se"
EqualsAny
StartsWith (povinné)

PolicySettings

Jméno Popis Hodnota
customBlockResponseBody Pokud je typ akce blokovaný, může zákazník přepsat text odpovědi. Tělo musí být zadáno v kódování base64. řetězec

Omezení:
Maximální délka =
Model = ^(?:[A-Za-z0-9+/]{4})*(?:[A-Za-z0-9+/]{2}==|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{4})$
customBlockResponseStatusCode Pokud je typ akce blokovaný, může zákazník přepsat stavový kód odpovědi. Int

Omezení:
Minimální hodnota = 0
fileUploadEnforcement Určuje, jestli povolí WAF vynucovat limity nahrávání souborů. Bool
fileUploadLimitInMb Maximální velikost nahrání souboru v MB pro WAF Int

Omezení:
Minimální hodnota = 0
logScrubbing Čištění citlivých polí protokolu policySettingsLogScrubbing
maxRequestBodySizeInKb Maximální velikost textu požadavku v kB pro WAF Int

Omezení:
Minimální hodnota = 8
režim Režim zásady. Detekce
Prevence
requestBodyCheck Určuje, jestli má WAF povolit kontrolu textu požadavku. Bool
requestBodyEnforcement Určuje, jestli waF umožňuje vynucovat limity textu požadavku. Bool
requestBodyInspectLimitInKB Maximální limit kontroly v kB pro kontrolu subjektu žádosti o WAF. Int
stát Stav zásady. Zakázáno
Povoleno

PolicySettingsLogScrubbing

Jméno Popis Hodnota
scrubbingRules Pravidla, která se použijí na protokoly pro čištění. WebApplicationFirewallScrubbingRules[]
stát Stav konfigurace scrubbingu protokolu Výchozí hodnota je Povoleno. Zakázáno
Povoleno

Značky prostředků

Jméno Popis Hodnota

WebApplicationFirewallCustomRule

Jméno Popis Hodnota
akce Typ akcí Povolit
Blok
Log (povinné)
groupByUserSession Seznam skupin identifikátorů relace uživatele podle klauzulí GroupByUserSession[]
matchConditions Seznam podmínek shody MatchCondition[] (povinné)
Jméno Název prostředku, který je v rámci zásady jedinečný. Tento název lze použít pro přístup k prostředku. řetězec

Omezení:
Maximální délka =
priorita Priorita pravidla Pravidla s nižší hodnotou se vyhodnotí před pravidly s vyšší hodnotou. int (povinné)
rateLimitDuration Doba trvání, pro kterou se použijí zásady omezení četnosti. Platí pouze v případech, kdy ruleType je RateLimitRule. "FiveMins"
"OneMin"
rateLimitThreshold Prahová hodnota limitu rychlosti, která se použije v případě, že ruleType je RateLimitRule. Musí být větší než nebo rovno 1. Int
ruleType Typ pravidla. Neplatné
'MatchRule'
RateLimitRule (povinné)
stát Popisuje, jestli je vlastní pravidlo v povoleném nebo zakázaném stavu. Pokud není zadáno, nastaví se výchozí hodnota Povoleno. Zakázáno
Povoleno

WebApplicationFirewallPolicyPropertiesFormat

Jméno Popis Hodnota
customRules Vlastní pravidla v zásadách. WebApplicationFirewallCustomRule[]
spravované pravidla Popisuje strukturu managedRules. ManagedRulesDefinition (povinné)
policySettings PolicySettings pro zásady. PolicySettings

WebApplicationFirewallScrubbingRules

Jméno Popis Hodnota
matchVariable Proměnná, která se má v protokolech vymýšlí. RequestArgNames
RequestCookieNames
RequestHeaderNames
RequestIPAddress
RequestJSONArgNames
RequestPostArgNames (povinné)
volič Pokud matchVariable je kolekce, operátor použitý k určení prvků v kolekci toto pravidlo platí. řetězec
selectorMatchOperator Pokud je matchVariable kolekcí, pomocí selektoru určete, na které prvky v kolekci se toto pravidlo vztahuje. "Rovná se"
EqualsAny (povinné)
stát Definuje stav pravidla scrubbingu protokolu. Výchozí hodnota je Povoleno. Zakázáno
Povoleno