共用方式為

Azure Web 應用程式防火牆和 Azure 原則

  • 發行項

Azure Web 應用程式防火牆 (WAF) 結合 Azure 原則,有助於強制執行組織標準並大規模評估 WAF 資源的合規性。 Azure 原則是一種控管工具,可提供彙總檢視以評估環境的整體狀態,並能夠向下切入至每個資源和每個原則的細微性。 Azure 原則也可透過對現有資源進行大規模補救,以及自動對新資源進行補救,來協助您的資源達到合規性。

Web 應用程式防火牆的 Azure 原則

有多個內建的 Azure 原則定義可用來管理 WAF 資源。 原則定義及其功能的明細如下:

啟用 Web 應用程式防火牆 (WAF)

  • Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 (WAF):Azure Front Door 服務會評估 WAF 是否存在。 原則定義有三種效果:稽核、拒絕和停用。 稽核追蹤 Azure Front Door Service 何時沒有 WAF,並讓使用者看到 Azure Front Door Service 不符合哪些要求。 拒絕可防止未連結 WAF 時建立任何 Azure Front Door Service。 停用會關閉原則指派。

  • 應用程式閘道應啟用 Web 應用程式防火牆 (WAF):應用程式閘道會在建立資源時評估 WAF 是否存在。 原則定義有三種效果:稽核、拒絕和停用。 稽核會追蹤應用程式閘道何時沒有 WAF,並讓使用者看到應用程式閘道不符合哪些要求。 拒絕可防止未連結 WAF 時建立任何應用程式閘道。 停用會關閉原則指派。

授權偵測或預防模式

  • Azure Front Door Service 的 Web 應用程式防火牆 (WAF) 應使用指定的模式:強制在 Azure Front Door Service 的所有 Web 應用程式防火牆原則中使用「偵測」或「預防」模式。 原則定義有三種效果:稽核、拒絕和停用。 稽核會追蹤 WAF 是否符合指定的模式。 如果 WAF 不是處於正確的模式,拒絕會防止建立任何 WAF。 停用會關閉原則指派。

  • 應用程式閘道的 Web 應用程式防火牆 (WAF) 應使用指定的模式:強制在應用程式閘道的所有 Web 應用程式防火牆原則中使用「偵測」或「預防」模式。 原則定義有三種效果:稽核、拒絕和停用。 稽核會追蹤 WAF 是否符合指定的模式。 如果 WAF 不是處於正確的模式,拒絕會防止建立任何 WAF。 停用會關閉原則指派。

需要要求檢查

  • Azure Front Door 上的 Azure Web 應用程式防火牆應該已啟用要求本文檢查:確定與 Azure Front Door 相關聯的 Web 應用程式防火牆已啟用要求本文檢查。 此功能可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。

  • Azure 應用程式閘道上的 Azure Web 應用程式防火牆應該已啟用要求本文檢查:確定與 Azure 應用程式閘道相關聯的 Web 應用程式防火牆已啟用要求本文檢查。 此功能可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。

需要資源記錄

  • Azure Front Door 應該已啟用資源記錄:規定在 Azure Front Door 傳統服務上啟用資源記錄和計量,包括 WAF。 原則定義有兩個效果:AuditIfNotExists 和 Disable。 AuditIfNotExists 會在 Front Door 服務何時沒有資源記錄、已啟用計量時追蹤,並通知使用者服務不符合規範。 停用會關閉原則指派。

  • Azure Front Door 標準或進階 (外加 WAF) 應啟用資源記錄:規定在 Azure Front Door 標準和進階服務上啟用資源記錄和計量,包括 WAF。 原則定義有兩個效果:AuditIfNotExists 和 Disable。 AuditIfNotExists 會在 Front Door 服務何時沒有資源記錄、已啟用計量時追蹤,並通知使用者服務不符合規範。 停用會關閉原則指派。

  • Azure 應用程式閘道應啟用資源記錄:要求在所有應用程式閘道上啟用資源記錄和計量,包括 WAF。 原則定義有兩個效果:AuditIfNotExists 和 Disable。 AuditIfNotExists 會在應用程式閘道沒有資源記錄、已啟用計量時追蹤,並通知使用者應用程式閘道不符合規範。 停用會關閉原則指派。

  • Azure Front Door 設定檔應該使用支援受控 WAF 規則和私人連結的進階層:規定所有 Azure Front Door 設定檔都位於進階層,而不是標準層。 Azure Front Door Premium 已針對安全性進行最佳化,並可讓您存取最新的 WAF 規則集和功能,例如 Bot 保護。

  • 啟用速率限制規則以防止 Azure Front Door WAF上的 DDoS 攻擊:速率限制可協助保護您的應用程式免於遭受 DDoS 攻擊。 Azure Front Door 的 Azure Web 應用程式防火牆 (WAF) 速率限制規則可協助保護免於 DDoS,方法是控制在速率限制期間,從特定用戶端 IP 位址到應用程式所允許的要求數目。

  • 將 WAF 從 WAF 組態移轉至應用程式閘道上的 WAF 原則:如果您有 WAF 組態,而不是 WAF 原則,則您可能想要移至新的 WAF 原則。 Web 應用程式防火牆 (WAF) 原則透過 WAF 組態提供更豐富的進階功能集、提供更高的規模、更好的效能,且與舊版 WAF 組態不同,可以定義 WAF 原則一次,並跨多個閘道、接聽程式和 URL 路徑共用。 接下來,最新的功能和未來的增強功能只能透過 WAF 原則使用。

建立 Azure 原則

  1. 在 Azure 首頁的搜尋列中輸入原則,然後選取 Azure 原則圖示。

  2. 在 Azure 原則服務的 [撰寫] 下方,選取 [指派]

Screenshot of Assignments tab within Azure Policy.

  1. 在 [指派] 頁面上,選取頂端的 [指派原則] 圖示。

Screenshot of Basics tab on the Assign Policy page.

  1. 在 [指派原則] 頁面的 [基本] 索引標籤上,更新下列欄位:
    1. 範圍:選取原則適用的 Azure 訂用帳戶和資源群組。
    2. 排除:從範圍中選取要從原則指派中排除的任何資源。
    3. 原則定義:選取原則定義以套用至有排除資源的範圍。 在搜尋列中輸入「Web 應用程式防火牆」,以選擇相關的 Web 應用程式防火牆 Azure 原則。

Screenshot that shows the 'Policy Definitions' tab on the 'Available Definitions' page.

  1. 選取 [參數] 索引標籤,然後更新原則指派參數。 若要進一步釐清參數的功能,請將滑鼠停留在參數名稱旁的資訊圖示上,以取得進一步詳細資訊。

  2. 選取 [檢閱 + 建立] 以完成您的原則指派。 原則指派大約需要 15 分鐘,新資源才會生效。