Sdílet prostřednictvím

Nastavení zásad pro firewall webových aplikací ve službě Azure Front Door

  • Článek

Zásady firewallu webových aplikací (WAF) umožňují řídit přístup k webovým aplikacím pomocí sady vlastních a spravovaných pravidel. Název zásady WAF musí být jedinečný. Pokud se pokusíte použít existující název, zobrazí se chyba ověření. Více nastavení na úrovni zásad platí pro všechna pravidla zadaná pro tuto zásadu, jak je popsáno v tomto článku.

Stav WAF

Zásady WAF pro Azure Front Door mají jeden z následujících dvou stavů:

  • Povoleno: Pokud je zásada povolená, WAF aktivně kontroluje příchozí požadavky a provádí odpovídající akce podle definic pravidel.
  • Zakázáno: Pokud je zásada zakázaná, kontrola WAF se pozastaví. Příchozí požadavky obcházejí WAF a odesílají se do back-endů na základě směrování služby Azure Front Door.

Režim WAF

Zásady WAF můžete nakonfigurovat tak, aby běžely v následujících dvou režimech:

  • Režim detekce: Když se spustí v režimu detekce, WAF neprovádí žádné akce kromě monitorování a protokolování požadavku a odpovídajícího pravidla WAF do protokolů WAF. Zapněte diagnostiku protokolování pro Službu Azure Front Door při použití webu Azure Portal. (Přejděte na Oddíl Diagnostika na webu Azure Portal.)
  • Režim prevence: Pokud je WAF nakonfigurovaný tak, aby běžel v režimu prevence, waF provede zadanou akci, pokud požadavek odpovídá pravidlu. Všechny odpovídající požadavky se také protokolují v protokolech WAF.

Odpověď WAF na blokované žádosti

Když WAF ve výchozím nastavení blokuje požadavek z důvodu odpovídajícího pravidla, vrátí stavový kód 403 se zprávou "Požadavek je zablokovaný". Pro protokolování se také vrátí referenční řetězec.

Můžete definovat vlastní stavový kód odpovědi a zprávu odpovědi, když WAF blokuje požadavek. Podporují se následující vlastní stavové kódy:

  • 200 OK
  • 403 – Zakázáno
  • 405 – metoda není povolená
  • 406 Není přijatelné
  • 429 Příliš mnoho požadavků

Vlastní stavový kód odpovědi se zprávou odpovědi je nastavení na úrovni zásad. Po nakonfigurování se všem blokovaným požadavkům zobrazí stejný stav vlastní odpovědi a zpráva odpovědi.

Identifikátor URI pro akci přesměrování

Musíte definovat identifikátor URI pro přesměrování požadavků, pokud REDIRECT je akce vybrána pro všechna pravidla obsažená v zásadách WAF. Tento identifikátor URI přesměrování musí být platným webem HTTP(S). Po nakonfigurování se všechny požadavky odpovídající pravidlům REDIRECT akce přesměrují na zadaný web.

Další kroky

Naučte se definovat vlastní odpovědi WAF.