Sdílet prostřednictvím


Přehled zásad Firewallu webových aplikací Azure (WAF)

Zásady firewallu webových aplikací obsahují všechna nastavení a konfigurace WAF. To zahrnuje vyloučení, vlastní pravidla, spravovaná pravidla atd. Tyto zásady se pak přidruží ke službě Application Gateway (globální), naslouchacímu procesu (naslouchacímu procesu) nebo pravidlu založenému na cestě (podle identifikátoru URI), které se projeví.

Počet zásad, které můžete vytvořit, není nijak omezený. Když vytvoříte zásadu, musí být přidružená ke službě Application Gateway, aby se projevila. Může být přidružená k libovolné kombinaci aplikačních bran, naslouchacích procesů a pravidel založených na cestě.

Poznámka:

Application Gateway má dvě verze skladové položky WAF: WAF_v1 služby Application Gateway a WAF_v2 služby Application Gateway. Přidružení zásad WAF jsou podporována pouze pro skladovou položku služby Application Gateway WAF_v2.

Globální zásady WAF

Když zásady WAF přidružíte globálně, bude každá lokalita za waF služby Application Gateway chráněná stejnými spravovanými pravidly, vlastními pravidly, vyloučeními a všemi dalšími nakonfigurovanými nastaveními.

Pokud chcete, aby se na všechny weby použila jedna zásada, můžete ji přidružit ke službě Application Gateway. Další informace najdete v tématu Vytvoření zásad firewallu webových aplikací pro službu Application Gateway pro vytvoření a použití zásad WAF pomocí webu Azure Portal.

Zásady WAF pro jednotlivé weby

S využitím zásad WAF pro jednotlivé weby můžete zajistit ochranu několika webů s různými požadavky na zabezpečení za jediným WAF. Například pokud je za vaším WAF pět webů, můžete mít pět samostatných zásad WAF (pro každý naslouchací proces jednu) a přizpůsobit vyloučení, vlastní pravidla, spravované sady pravidel a všechna ostatní nastavení WAF pro jednotlivé weby.

Řekněme, že pro vaši službu Application Gateway platí globální zásady. Pak pro naslouchací proces v této službě Application Gateway použijete jiné zásady. Zásady tohoto naslouchacího procesu teď platí pouze pro tento naslouchací proces. Pro všechny ostatní naslouchací procesy a pravidla založená na cestě, ke kterým nejsou přiřazené konkrétní zásady, stále platí globální zásady služby Application Gateway.

Zásady pro jednotlivé identifikátory URI

Pokud chcete ještě více přizpůsobit úroveň identifikátoru URI, můžete zásadu WAF přidružit k pravidlu založenému na cestě. Pokud jsou v rámci jednoho webu určité stránky, které vyžadují různé zásady, můžete v zásadách WAF provádět změny, které mají vliv jenom na daný identifikátor URI. To se může vztahovat na platební nebo přihlašovací stránku nebo na jakékoli jiné identifikátory URI, které potřebují ještě konkrétnější zásady WAF než ostatní weby za waF.

Stejně jako u zásad WAF pro jednotlivé weby přepíší konkrétnější zásady méně specifické zásady. To znamená, že zásada pro každý identifikátor URI na mapě cest URL přepíše všechny zásady WAF pro jednotlivé weby nebo globální zásady WAF nad ní.

Příklad

Řekněme, že máte tři weby: contoso.com, fabrikam.com a adatum.com všechny za stejnou aplikační bránou. Chcete použít WAF pro všechny tři weby, ale potřebujete přidat zabezpečení s adatum.com, protože tam zákazníci navštíví, procházejí a kupí produkty.

Globální zásady můžete použít pro WAF s některými základními nastaveními, vyloučeními nebo vlastními pravidly, pokud je potřeba zastavit blokování provozu falešně pozitivními výsledky. V tomto případě není nutné mít spuštěná globální pravidla injektáže SQL, protože fabrikam.com a contoso.com jsou statické stránky bez back-endu SQL. Tato pravidla tedy můžete zakázat v globálních zásadách.

Tato globální zásada je vhodná pro contoso.com a fabrikam.com, ale s adatum.com, kde se zpracovávají přihlašovací údaje a platby, musíte být opatrní. Na naslouchací proces Adatum můžete použít zásadu pro jednotlivé weby a ponechat spuštěná pravidla SQL. Předpokládejme také, že nějaký provoz blokuje soubor cookie, takže můžete pro tento soubor cookie vytvořit vyloučení, aby se zastavil falešně pozitivní.

Identifikátor URI adatum.com/payments je tam, kde potřebujete být opatrní. Proto pro tento identifikátor URI použijte další zásadu a ponechte všechna pravidla povolená a také odeberte všechna vyloučení.

V tomto příkladu máte globální zásady, které platí pro dvě lokality. Máte zásady pro jednotlivé lokality, které se vztahují na jednu lokalitu, a pak zásady pro každý identifikátor URI, které platí pro jedno konkrétní pravidlo založené na cestě. Viz Konfigurace zásad WAF pro jednotlivé weby pomocí Azure PowerShellu pro odpovídající PowerShell v tomto příkladu.

Existující konfigurace WAF

Všechna nová nastavení WAF firewallu webových aplikací (vlastní pravidla, konfigurace spravovaných sad pravidel, vyloučení atd.) existují v zásadách WAF. Pokud máte existující WAF, můžou tato nastavení stále existovat v konfiguraci WAF. Další informace o přechodu na novou zásadu WAF potřebujete migrovat konfiguraci WAF na zásadu WAF.

Další kroky