通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Web 应用程序防火墙和 Azure Policy

  • 项目

Azure Web 应用程序防火墙 (WAF) 与 Azure Policy 结合,可帮助强制实施组织标准并大规模评估 WAF 资源的符合性。 Azure Policy 是一款治理工具,它提供一个聚合视图来评估环境的整体状态,并允许用户以按资源、按策略的粒度向下钻取。 Azure Policy 还可以对现有资源执行批量修正,以及对新资源自动修正,从而帮助资源符合规范。

适用于 Web 应用程序防火墙的 Azure Policy

Azure Policy 内置了多个用于管理 WAF 资源的定义。 策略定义细分及其功能情况如下所示:

启用 Web 应用程序防火墙 (WAF)

  • 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙:根据是否存在 WAF 评估 Azure Front Door 服务。 策略定义具有三种效果:审核、拒绝和禁用。 审核会跟踪 Azure Front Door 服务没有 WAF 的情况,并允许用户查看 Azure Front Door 服务不合规的方面。 如果未附加 WAF,则“拒绝”会阻止创建任何 Azure Front Door 服务。 “已禁用”会关闭策略分配。

  • 应为应用程序网关启用 Web 应用程序防火墙 (WAF):根据资源创建时是否存在 WAF 评估应用程序网关。 策略定义具有三种效果:审核、拒绝和禁用。 审核会跟踪应用程序网关没有 WAF 的情况,并允许用户查看应用程序网关不合规的方面。 如果未附加 WAF,则“拒绝”会阻止创建任何应用程序网关。 “已禁用”会关闭策略分配。

强制检测或阻止模式

  • Web 应用程序防火墙 (WAF) 应使用指定的 Azure Front Door 服务模式:要求 Azure Front Door 服务的所有 Web 应用程序防火墙策略都启用“检测”或“防护”模式。 策略定义具有三种效果:审核、拒绝和禁用。 审核会跟踪 WAF 不符合指定模式的情况。 如果未处于正确模式,“拒绝”将阻止创建任何 WAF。 “已禁用”会关闭策略分配。

  • Web 应用程序防火墙 (WAF) 应使用指定的应用程序网关模式:要求应用程序网关的所有 Web 应用程序防火墙策略都启用“检测”检或“防护”模式。 策略定义具有三种效果:审核、拒绝和禁用。 审核会跟踪 WAF 不符合指定模式的情况。 如果未处于正确模式,“拒绝”将阻止创建任何 WAF。 “已禁用”会关闭策略分配。

要求请求检查

  • Azure Front Door 上的 Azure Web 应用程序防火墙应启用请求正文检查:确保与 Azure Front Door 关联的 Web 应用程序防火墙启用了请求正文检查。 使用此功能,WAF 可以检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。

  • Azure 应用程序网关上的 Azure Web 应用程序防火墙应已启用请求正文检查:确保与 Azure 应用程序网关相关联的 Web 应用程序防火墙启用了请求正文检查。 使用此功能,WAF 可以检查 HTTP 正文中可能无法在 HTTP 标头、Cookie 或 URI 中评估的属性。

需要资源日志

  • Azure Front Door 应启用资源日志:在 Azure Front Door 经典服务(包括 WAF)上强制启用资源日志和指标。 此策略定义具有两种效果:AuditIfNotExists 和 Disable。 AuditIfNotExists 可跟踪 Front Door 服务何时未启用资源日志和指标,并通知用户该服务不符合要求。 “已禁用”会关闭策略分配。

  • Azure Front Door 标准或高级(带 WAF)应启用资源日志:在 Azure Front Door 标准或高级(包括 WAF)上强制启用资源日志和指标。 此策略定义具有两种效果:AuditIfNotExists 和 Disable。 AuditIfNotExists 可跟踪 Front Door 服务何时未启用资源日志和指标,并通知用户该服务不符合要求。 “已禁用”会关闭策略分配。

  • Azure 应用程序网关应启用资源日志:要求在所有应用程序网关(包括 WAF)上启用资源日志和指标。 此策略定义具有两种效果:AuditIfNotExists 和 Disable。 AuditIfNotExists 可跟踪应用程序网关何时未启用资源日志和指标,并通知用户应用程序网关不符合要求。 “已禁用”会关闭策略分配。

  • Azure Front Door 应使用支持托管 WAF 规则和专用链接的高级层:强制要求所有 Azure Front Door 配置文件位于高级层而不是标准层。 Azure Front Door Premium 针对安全性进行优化,支持你访问最新的 WAF 规则集和机器人防护等功能。

  • 启用速率限制规则以防范 Azure Front Door WAF 上的 DDoS 攻击:速率限制可以保护应用程序免受 DDoS 攻击。 通过控制速率限制期间从特定客户端 IP 地址到应用程序的允许请求数,Azure Front Door 的 Azure Web 应用程序防火墙 (WAF) 速率限制规则可帮助防范 DDoS。

  • 在应用程序网关上将 WAF 从 WAF 配置迁移到 WAF 策略:如果具有 WAF 配置(而不是 WAF 策略),则你可能希望移动到新的 WAF 策略。 Web 应用程序防火墙 (WAF) 策略提供了一组比 WAF 配置更丰富的高级功能,可提供更大的规模和更好的性能,并且与旧式 WAF 配置不同,WAF 策略可以一次性定义,并在多个网关、侦听器和 URL 路径之间共享。 今后,最新功能和将来的增强功能将仅通过 WAF 策略提供。

创建 Azure Policy

  1. 在 Azure 主页上,在搜索栏中键入策略,然后选择“Azure Policy”图标。

  2. 在“Azure Policy”服务的“创作”,选择“分配”。

Azure Policy 中“分配”选项卡的屏幕截图。

  1. 在“分配”页上,选择顶部的“分配策略”图标。

“Azure Policy”页面中“基本信息”选项卡的屏幕截图。

  1. 在“分配策略”页的“基本”选项卡上,更新以下字段:
    1. 范围:选择策略适用的 Azure 订阅和资源组。
    2. 排除:从策略分配范围中选择要排除的任何资源。
    3. 策略定义:选择要应用于具有排除项的范围的策略定义。 在搜索栏中键入“Web 应用程序防火墙”,以选择相关的 Web 应用程序防火墙 Azure Policy。

显示“可用定义”页上“策略定义”选项卡的屏幕截图。

  1. 选择“参数”选项卡,并更新策略分配参数。 要进一步了解参数的功能,请将鼠标悬停在参数名称旁边的信息图标上,以获取进一步说明。

  2. 选择“查看 + 创建”以最终确定策略分配。 策略分配大约需要 15 分钟,才会对新资源生效。