Freigeben über


Richtlinieneinstellungen für Web Application Firewall in Azure Front Door

Mit einer Richtlinie für Web Application Firewall (WAF) können Sie den Zugriff auf Ihre Webanwendungen mit einer Reihe von benutzerdefinierten und verwalteten Regeln steuern. Der WAF-Richtlinienname muss eindeutig sein. Sie erhalten eine Validierungsfehlermeldung, wenn Sie versuchen, einen vorhandenen Namen zu verwenden. Verschiedene Einstellungen auf Richtlinienebenen gelten für alle für die jeweilige Richtlinie angegebenen Regeln, wie in diesem Artikel beschrieben.

WAF-Status

Eine WAF-Richtlinie für Azure Front Door weist einen der beiden folgenden Zustände auf:

  • Aktiviert: Wenn eine Richtlinie aktiviert ist, überprüft die WAF aktiv eingehende Anforderungen und führt den Regeldefinitionen entsprechende Aktionen durch.
  • Deaktiviert: Wenn eine Richtlinie deaktiviert ist, wird die WAF-Überprüfung angehalten. Eingehende Anforderungen umgehen WAF und werden auf dem Azure Front Door-Routing basierend an Back-Ends gesendet.

WAF-Modus

Für die Ausführung der WAF-Richtlinie können die beiden folgenden Modi konfiguriert werden:

  • Erkennungsmodus: Bei der Ausführung im Erkennungsmodus sind die WAF-Aktionen auf die Überwachung sowie die Protokollierung der Anforderung und der entsprechenden WAF-Regel in WAF-Protokollen beschränkt. Aktivieren Sie die Protokollierung von Diagnosen für Azure Front Door, wenn Sie das Azure-Portal verwenden. (Wechseln Sie im Azure-Portal zum Abschnitt Diagnose.)
  • Schutzmodus: Bei Konfiguration einer WAF-Instanz zur Ausführung im Schutzmodus führt die WAF-Instanz die angegebene Aktion aus, wenn eine Anforderung einer Regel entspricht. Jede Anforderung mit einer Regelübereinstimmung wird außerdem in den WAF-Protokollen protokolliert.

WAF-Antwort für blockierte Anforderungen

Wenn die WAF eine Anforderung aufgrund einer übereinstimmenden Regel blockiert, gibt sie standardmäßig einen Statuscode vom Typ 403 mit der Meldung „Die Anforderung wird blockiert“ zurück. Für die Protokollierung wird außerdem eine Verweiszeichenfolge zurückgegeben.

Sie können einen benutzerdefinierten Antwortstatuscode und eine Antwortmeldung für den Fall definieren, dass WAF eine Anforderung blockiert. Die folgenden benutzerdefinierten Statuscodes werden unterstützt:

  • 200 – OK
  • 403 Verboten
  • 405 Methode unzulässig
  • 406 Nicht akzeptabel
  • 429 Zu viele Anforderungen

Ein benutzerdefinierter Antwortstatuscode mit einer Antwortmeldung ist eine Richtlinieneinstellung. Nachdem sie konfiguriert wurde, erhalten alle blockierten Anforderungen den gleichen benutzerdefinierten Antwortstatus und die gleiche Antwortmeldung.

URI für Umleitungsaktion

Sie müssen einen URI definieren, an den Anforderungen umgeleitet werden können, wenn die REDIRECT für eine der Regeln ausgewählt ist, die in einer WAF-Richtlinie enthalten sind. Dieser Umleitungs-URI muss eine gültige HTTP(S)-Website sein. Nach der Konfiguration werden alle Anforderungen, die Regeln mit einer REDIRECT-Aktion entsprechen, an die angegebene Website umgeleitet.

Nächste Schritte

Erfahren Sie, wie Sie benutzerdefinierte Antworten für WAF definieren.