Omówienie zasad usługi Azure Web Application Firewall (WAF)
Zasady zapory aplikacji internetowej zawierają wszystkie ustawienia i konfiguracje zapory aplikacji internetowej. Obejmuje to wykluczenia, reguły niestandardowe, reguły zarządzane itd. Te zasady są następnie skojarzone z bramą aplikacji (globalną), odbiornikiem (na lokację) lub regułą opartą na ścieżkach (per-URI), aby zaczęły obowiązywać.
Nie ma limitu liczby zasad, które można utworzyć. Po utworzeniu zasad należy skojarzyć je z bramą aplikacji, aby zaczęły obowiązywać. Może być ona skojarzona z dowolną kombinacją bram aplikacji, odbiorników i reguł opartych na ścieżkach.
Uwaga
Usługa Application Gateway ma dwie wersje jednostki SKU zapory aplikacji internetowej: usługa Application Gateway WAF_v1 i usługa Application Gateway WAF_v2. Skojarzenia zasad zapory aplikacji internetowej są obsługiwane tylko dla jednostki SKU usługi Application Gateway WAF_v2.
Globalne zasady zapory aplikacji internetowej
Po skojarzeniu zasad zapory aplikacji internetowej globalnie każda witryna za zaporą aplikacji internetowej usługi Application Gateway jest chroniona za pomocą tych samych reguł zarządzanych, reguł niestandardowych, wykluczeń i innych skonfigurowanych ustawień.
Jeśli chcesz, aby do wszystkich lokacji zastosowano pojedyncze zasady, możesz skojarzyć je z bramą aplikacji. Aby uzyskać więcej informacji, zobacz Tworzenie zasad zapory aplikacji internetowej dla usługi Application Gateway w celu utworzenia i zastosowania zasad zapory aplikacji internetowej przy użyciu witryny Azure Portal.
Zasady zapory aplikacji internetowej dla lokacji
Za pomocą zasad zapory aplikacji internetowej dla poszczególnych witryn można chronić wiele witryn z różnymi potrzebami dotyczącymi zabezpieczeń w ramach jednej zapory aplikacji internetowej przy użyciu zasad dla poszczególnych witryn. Jeśli na przykład za zaporą aplikacji internetowej znajduje się pięć witryn, można mieć pięć oddzielnych zasad zapory aplikacji internetowej (jedną dla każdego odbiornika), aby dostosować wykluczenia, reguły niestandardowe, zarządzane zestawy reguł oraz wszystkie inne ustawienia zapory aplikacji internetowej dla każdej witryny.
Załóżmy, że do bramy aplikacji są zastosowane zasady globalne. Należy zastosować różne zasady do odbiornika w tej bramie aplikacji. Zasady odbiornika teraz zaczynają obowiązywać tylko dla tego odbiornika. Globalne zasady bramy aplikacji nadal dotyczą wszystkich innych odbiorników i reguł opartych na ścieżce, do których nie są przypisane określone zasady.
Zasady dla identyfikatora URI
Aby jeszcze bardziej dostosować do poziomu identyfikatora URI, można skojarzyć zasady zapory aplikacji internetowej z regułą opartą na ścieżkach. Jeśli w jednej witrynie istnieją pewne strony, które wymagają różnych zasad, możesz wprowadzić zmiany w zasadach zapory aplikacji internetowej, które mają wpływ tylko na dany identyfikator URI. Może to dotyczyć strony płatności lub logowania lub innych identyfikatorów URI, które wymagają jeszcze bardziej szczegółowych zasad zapory aplikacji internetowej niż inne witryny za zaporą aplikacji internetowej.
Podobnie jak w przypadku zasad zapory aplikacji internetowej dla lokacji, bardziej szczegółowe zasady zastępują mniej szczegółowe. Oznacza to, że zasady dla identyfikatora URI na mapie ścieżki adresu URL zastępują wszystkie zasady zapory aplikacji internetowej dla każdej witryny lub globalnej zapory aplikacji internetowej powyżej.
Przykład
Załóżmy, że masz trzy witryny: contoso.com, fabrikam.com i adatum.com wszystkie za tą samą bramą aplikacji. Chcesz zastosować zaporę aplikacji internetowej do wszystkich trzech witryn, ale potrzebujesz zabezpieczeń z adatum.com, ponieważ w tym miejscu klienci odwiedzają, przeglądają i kupują produkty.
Zasady globalne można zastosować do zapory aplikacji internetowej, z pewnymi podstawowymi ustawieniami, wykluczeniami lub regułami niestandardowymi, jeśli to konieczne, aby zatrzymać niektóre fałszywie dodatnie blokowanie ruchu. W takim przypadku nie ma potrzeby uruchamiania globalnych reguł iniekcji SQL, ponieważ fabrikam.com i contoso.com to strony statyczne bez zaplecza SQL. Dzięki temu można wyłączyć te reguły w zasadach globalnych.
Ta globalna zasada jest odpowiednia dla contoso.com i fabrikam.com, ale należy zachować ostrożność, adatum.com gdzie są obsługiwane informacje logowania i płatności. Zasady dla poszczególnych lokacji można zastosować do odbiornika Adatum i pozostawić uruchomione reguły SQL. Załóżmy również, że istnieje plik cookie blokujący jakiś ruch, dzięki czemu można utworzyć wykluczenie dla tego pliku cookie, aby zatrzymać wynik fałszywie dodatni.
Identyfikator URI adatum.com/payments to miejsce, w którym należy zachować ostrożność. Dlatego zastosuj inne zasady dla tego identyfikatora URI i pozostaw włączone wszystkie reguły, a także usuń wszystkie wykluczenia.
W tym przykładzie masz zasady globalne, które mają zastosowanie do dwóch lokacji. Masz zasady dla poszczególnych lokacji, które mają zastosowanie do jednej lokacji, a następnie zasady dla poszczególnych identyfikatorów URI, które mają zastosowanie do jednej określonej reguły opartej na ścieżkach. Zobacz Konfigurowanie zasad zapory aplikacji internetowej dla lokacji przy użyciu programu Azure PowerShell , aby uzyskać odpowiedni przykład programu PowerShell.
Istniejące konfiguracje zapory aplikacji internetowej
Wszystkie nowe ustawienia zapory aplikacji internetowej zapory aplikacji internetowej (reguły niestandardowe, konfiguracje zestawu reguł zarządzanych, wykluczenia itd.) istnieją w zasadach zapory aplikacji internetowej. Jeśli masz istniejącą zaporę aplikacji internetowej, te ustawienia mogą nadal istnieć w konfiguracji zapory aplikacji internetowej. Aby uzyskać więcej informacji na temat przechodzenia do nowych zasad zapory aplikacji internetowej, migrowanie konfiguracji zapory aplikacji internetowej do zasad zapory aplikacji internetowej.