Поделиться через

Параметры политики для Брандмауэр веб-приложений в Azure Front Door

  • Статья

Политика брандмауэра веб-приложений (WAF) позволяет управлять доступом к веб-приложениям с помощью набора пользовательских и управляемых правил. Имя политики WAF должно быть уникальным. При попытке использовать существующее имя возникает ошибка проверки. Несколько параметров уровня политики применяются ко всем правилам, указанным для этой политики, как описано в этой статье.

Состояние WAF

Политика WAF для Azure Front Door имеет одно из следующих двух состояний:

  • Включено: если политика включена, WAF активно проверяет входящие запросы и принимает соответствующие действия в соответствии с определениями правил.
  • Отключено: если политика отключена, проверка WAF приостановлена. Входящие запросы обходят WAF и отправляются в серверные части на основе маршрутизации Azure Front Door.

Режимы WAF

Политику WAF можно настроить для выполнения в следующих двух режимах:

  • Режим обнаружения. При выполнении в режиме обнаружения WAF не выполняет никаких действий, отличных от отслеживания и записи запроса и соответствующего правила WAF в журналы WAF. Включите ведение журнала диагностика для Azure Front Door при использовании портал Azure. (Перейдите к разделу Раздел диагностики в портал Azure.)
  • Режим предотвращения. Если WAF настроен для запуска в режиме предотвращения, WAF принимает указанное действие, если запрос соответствует правилу. Все запросы, для которых обнаружены совпадающие правила, также регистрируются в журналах WAF.

Ответ WAF для заблокированных запросов

По умолчанию, когда WAF блокирует запрос из-за соответствующего правила, он возвращает код состояния 403 с сообщением "Запрос заблокирован". Ссылка также возвращается для ведения журнала.

Вы можете определить пользовательский код состояния ответа и ответное сообщение, когда WAF блокирует запрос. Поддерживаются следующие пользовательские коды состояния.

  • 200 OK
  • 403. Запрещено
  • 405 — метод запрещен
  • 406 — неприемлемо
  • 429 — слишком много запросов

Пользовательский код состояния ответа с сообщением ответа — это параметр уровня политики. После настройки все заблокированные запросы получают одинаковое состояние пользовательского ответа и сообщение ответа.

URI для действия перенаправления

Необходимо определить универсальный код ресурса (URI) для перенаправления запросов, если REDIRECT действие выбрано для любого из правил, содержащихся в политике WAF. Этот URI перенаправления должен быть допустимым сайтом HTTP(S). После настройки все запросы, соответствующие правилам с REDIRECT действием, перенаправляются на указанный сайт.

Следующие шаги

Узнайте, как определить пользовательские ответы WAF.