نظرة عامة على Azure Web Application Firewall (WAF)
تحتوي نُهج جدار حماية تطبيقات الويب على جميع إعدادات وتكوينات WAF. يتضمن ذلك الاستبعادات والقواعد المخصصة والقواعد المُدارة وما إلى ذلك. ثم يتم ربط هذه النُهج ببوابة تطبيق (عمومية)، أو مستمع (لكل موقع)، أو قاعدة مستندة إلى المسار (لكل URI) حتى يتم تفعيلها.
لا يوجد حد لعدد النُهج التي يمكنك إنشاؤها. عند إنشاء نهج، يجب أن تكون مرتبطة ببوابة التطبيق لتصبح نافذة المفعول. يمكن ربطه بأي مجموعة من بوابات التطبيق والمستمعين والقواعد المستندة إلى المسار.
ملاحظة
تحتوي Application Gateway على نسختين من WAF sku: Application Gateway WAF_v1 وApplication Gateway WAF_v2. يتم دعم اقترانات نهج WAF فقط لـ Application بوابة WAF_v2 sku.
نهج WAF العمومية
عندما تقوم بربط نهج WAF على مستوى العالم، فإن كل موقع خلف Application Gateway WAF يكون محمياً بنفس القواعد المدارة، والقواعد المخصصة، والاستثناءات، وأي إعدادات أخرى تم تكوينها.
إذا كنت تريد تطبيق نهج واحدة على جميع المواقع، فيمكنك ربط النهج ببوابة التطبيق. لمزيد من المعلومات، راجع إنشاء نُهج جدار حماية لـ Web Application Firewall لإنشاء نهج WAF وتطبيقها باستخدام مدخل Microsoft Azure.
نهج WAF لكل موقع
باستخدام نُهج WAF لكل موقع، يمكنك حماية مواقع متعددة باحتياجات أمنية مختلفة خلف WAF واحد باستخدام نُهج لكل موقع. على سبيل المثال، إذا كانت هناك خمسة مواقع خلف WAF الخاص بك، فيمكنك الحصول على خمس نُهج WAF منفصلة (واحد لكل مستمع) لتخصيص الاستثناءات والقواعد المخصصة ومجموعات القواعد المُدارة وجميع إعدادات WAF الأخرى لكل موقع.
لنفترض أن بوابة التطبيق الخاصة بك لديها نهج عمومية مطبقة عليها. ثم تقوم بتطبيق نهج مختلفة على وحدة الاستماع على بوابة التطبيق تلك. تسري نهج المستمع الآن على ذلك المستمع فقط. لا تزال النهج العامة لبوابة التطبيق تنطبق على جميع المستمعين الآخرين والقواعد المستندة إلى المسار التي ليس لها نهج محددة مخصصة لهم.
نهج لكل URI
لمزيد من التخصيص وصولاً إلى مستوى URI، يمكنك ربط نهج WAF بقاعدة مستندة إلى المسار. إذا كانت هناك صفحات معينة داخل موقع واحد تتطلب نُهج مختلفة، فيمكنك إجراء تغييرات على نهج WAF تؤثر فقط على URI معين. قد ينطبق هذا على صفحة الدفع أو تسجيل الدخول، أو أي URIs أخرى تحتاج إلى نهج WAF أكثر تحديداً من المواقع الأخرى خلف WAF الخاص بك.
كما هو الحال مع نُهج WAF لكل موقع، فإن النُهج الأكثر تحديداً تتجاوز النُهج الأقل تحديداً. هذا يعني أن نهج لكل URI على خريطة مسار URL تتجاوز أي نهج WAF لكل موقع أو نهج WAF فوقها.
مثال
لنفترض أن لديك ثلاثة مواقع: contoso.com وfabrikam.com وadatum.com كلها تعمل وراء نفس بوابة التطبيق. تريد تطبيق WAF على جميع المواقع الثلاثة، لكنك تحتاج إلى مزيد من الأمان مع adatum.com لأن هذا هو المكان الذي يزور فيه العملاء المنتجات ويتصفحونها ويشترونها.
يمكنك تطبيق نهج عامة على WAF، مع بعض الإعدادات الأساسية أو الاستثناءات أو القواعد المخصصة إذا لزم الأمر لمنع بعض الإيجابيات الخاطئة من حظر نسبة استخدام الشبكة. في هذه الحالة، ليست هناك حاجة إلى تشغيل قواعد إدخال SQL العمومية لأن fabrikam.com وcontoso.com عبارة عن صفحات ثابتة بدون خلفية SQL. لذلك يمكنك تعطيل هذه القواعد في النهج العمومية.
هذه النهج العمومية مناسبة لـ contoso.com وfabrikam.com، ولكن عليك أن تكون أكثر حرصاً مع adatum.com حيث يتم التعامل مع معلومات تسجيل الدخول والمدفوعات. يمكنك تطبيق نهج لكل موقع على مستمع adatum وترك قواعد SQL قيد التشغيل. افترض أيضاً أن هناك ملف تعريف ارتباط يحظر بعض الزيارات، لذا يمكنك إنشاء استثناء لملف تعريف الارتباط هذا لإيقاف الإيجابي الخاطئ.
عنوان URI adatum.com/payments هو المكان الذي تحتاج إلى توخي الحذر فيه. لذلك قم بتطبيق نهج أخرى على URI هذا واترك جميع القواعد ممكّنة، وقم أيضاً بإزالة جميع الاستبعادات.
في هذا المثال، لديك نهج عامة تنطبق على موقعين. لديك نهج لكل موقع تنطبق على موقع واحد، ثم نهج لكل URI تنطبق على قاعدة واحدة محددة تعتمد على المسار. راجع تكوين نُهج WAF لكل موقع باستخدام Azure PowerShell للحصول على PowerShell المقابل لهذا المثال.
تكوينات WAF الحالية
جميع إعدادات WAF الخاصة بجدار حماية تطبيق الويب (القواعد المخصصة، تكوينات مجموعة القواعد المُدارة، الاستثناءات، وما إلى ذلك) موجودة في نهج WAF. إذا كان لديك WAF موجود بالفعل، فقد تظل هذه الإعدادات موجودة في تكوين WAF الخاص بك. لمزيد من المعلومات حول الانتقال إلى نهج WAF الجديدة، ترحيل تكوين WAF إلى نهج WAF.