Azure Web Application Firewall (WAF)-beleidsoverzicht
Web Application Firewall-beleid bevat alle WAF-instellingen en -configuraties. Dit omvat uitsluitingen, aangepaste regels, beheerde regels, enzovoort. Deze beleidsregels worden vervolgens gekoppeld aan een toepassingsgateway (globaal), een listener (per site) of een op pad gebaseerde regel (per URI) om ze van kracht te laten worden.
Er is geen limiet voor het aantal beleidsregels dat u kunt maken. Wanneer u een beleid maakt, moet dit worden gekoppeld aan een toepassingsgateway om van kracht te worden. Deze kan worden gekoppeld aan elke combinatie van toepassingsgateways, listeners en op pad gebaseerde regels.
Notitie
Application Gateway heeft twee versies van de WAF-SKU: Application Gateway WAF_v1 en Application Gateway WAF_v2. WAF-beleidskoppelingen worden alleen ondersteund voor de Application Gateway WAF_v2 SKU.
Globaal WAF-beleid
Wanneer u een WAF-beleid globaal koppelt, wordt elke site achter uw Application Gateway WAF beveiligd met dezelfde beheerde regels, aangepaste regels, uitsluitingen en andere geconfigureerde instellingen.
Als u één beleid wilt toepassen op alle sites, kunt u het beleid koppelen aan de toepassingsgateway. Zie Web Application Firewall-beleid maken voor Application Gateway voor meer informatie om een WAF-beleid te maken en toe te passen met behulp van Azure Portal.
WAF-beleid per site
Met per-site beleidsregels van WAF kunt u meerdere sites met verschillende beveiligingseisen beveiligen achter één WAF door gebruik te maken van per-site beleid. Als er zich bijvoorbeeld vijf sites achter uw WAF bevinden, kunt u vijf afzonderlijke WAF-beleidsregels (één voor elke listener) opstellen om de uitsluitingen, aangepaste regels, beheerde regelsets en alle andere WAF-instellingen per site aan te passen.
Stel dat er op uw toepassingsgateway een globaal beleid is toegepast. Vervolgens past u een ander beleid toe op een listener op die toepassingsgateway. Het beleid van de listener is dan alleen van kracht voor die listener. Het globale beleid van de toepassingsgateway is nog steeds van toepassing op alle andere listeners en op pad gebaseerde regels waaraan geen specifiek beleid is toegewezen.
Beleid per URI
Voor nog meer aanpassingen op URI-niveau kunt u een WAF-beleid koppelen aan een padgebaseerde regel. Als er bepaalde pagina's binnen één site zijn waarvoor ander beleid is vereist, kunt u wijzigingen aanbrengen in het WAF-beleid dat alleen van invloed is op een bepaalde URI. Dit kan van toepassing zijn op een betalings- of aanmeldingspagina, of op andere URI's die een nog specifieker WAF-beleid nodig hebben dan de andere sites achter uw WAF.
Net als bij WAF-beleidsregels per site overschrijven specifiekere beleidsregels minder specifieke beleidsregels. Dit betekent dat een beleid per URI op een URL-padoverzicht elk waf-beleid per site of globaal WAF-beleid erboven overschrijft.
Opmerking
Stel dat u drie sites hebt: contoso.com, fabrikam.com en adatum.com allemaal achter dezelfde toepassingsgateway. U wilt een WAF toepassen op alle drie de sites, maar u hebt extra beveiliging nodig met adatum.com omdat klanten daar producten bezoeken, bladeren en kopen.
U kunt een globaal beleid toepassen op de WAF, met enkele basisinstellingen, uitsluitingen of aangepaste regels, indien nodig om te voorkomen dat sommige fout-positieven verkeer blokkeren. In dit geval is het niet nodig om globale SQL-injectieregels uit te voeren, omdat fabrikam.com en contoso.com statische pagina's zijn zonder SQL-back-end. U kunt deze regels dus uitschakelen in het globale beleid.
Dit globale beleid is geschikt voor contoso.com en fabrikam.com, maar u moet voorzichtiger zijn met adatum.com waar aanmeldingsgegevens en betalingen worden verwerkt. U kunt een beleid per site toepassen op de Adatum-listener en de SQL-regels laten uitvoeren. Stel ook dat er een cookie is die verkeer blokkeert, zodat u een uitsluiting voor die cookie kunt maken om het fout-positieve te stoppen.
De adatum.com/payments-URI is de plek waar u voorzichtig moet zijn. Pas dus een ander beleid toe op die URI en laat alle regels ingeschakeld en verwijder ook alle uitsluitingen.
In dit voorbeeld hebt u een globaal beleid dat van toepassing is op twee sites. U hebt een beleid per site dat van toepassing is op één site en vervolgens een beleid per URI dat van toepassing is op één specifieke padgebaseerde regel. Zie WAF-beleid per site configureren met behulp van Azure PowerShell voor de bijbehorende PowerShell voor dit voorbeeld.
Bestaande WAF-configuraties
Alle nieuwe WAF-instellingen van Web Application Firewall (aangepaste regels, configuraties voor beheerde regelset, uitsluitingen, enzovoort) bestaan in een WAF-beleid. Als u een bestaande WAF hebt, zijn deze instellingen mogelijk nog steeds aanwezig in uw WAF-configuratie. Migreer WAF-configuratie naar een WAF-beleid voor meer informatie over het overstappen naar het nieuwe WAF-beleid.