Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: ✔️ Application Gateway V2
Zásady firewallu webových aplikací obsahují všechna nastavení a konfigurace WAF. To zahrnuje vyloučení, vlastní pravidla, spravovaná pravidla atd. Tyto zásady jsou pak přidruženy k aplikační bráně (globální), naslouchajícímu procesu (pro jednotlivé lokality) nebo pravidlu založenému na cestě (pro jednotlivé identifikátory URI), aby se projevily.
Počet zásad, které můžete vytvořit, není nijak omezen. Když vytvoříte zásadu, musí být přidružená k aplikační bráně, aby se projevila. Může být přidružen k libovolné kombinaci aplikačních bran, posluchačů a pravidel založených na cestě.
Poznámka:
Application Gateway má dvě verze WAF SKU: Application Gateway WAF_v1 a Application Gateway WAF_v2. Přidružení zásad WAF se podporují jenom pro skladovou položku služby Application Gateway WAF_v2.
Globální zásady WAF
Když globálně přidružíte zásadu WAF, každý web za vaším Application Gateway WAF je chráněn stejnými spravovanými pravidly, vlastními pravidly, vyloučeními a všemi dalšími nakonfigurovanými nastaveními.
Pokud chcete, aby se jedna zásada vztahovala na všechny weby, můžete ji přidružit k aplikační bráně. Další informace najdete v tématu Vytvoření zásad Web Application Firewall pro Application Gateway pro vytvoření a použití zásad WAF pomocí Azure Portal.
Zásady WAF pro jednotlivé weby
S využitím zásad WAF pro jednotlivé weby můžete zajistit ochranu několika webů s různými požadavky na zabezpečení za jediným WAF. Například pokud je za vaším WAF pět webů, můžete mít pět samostatných politik WAF (jednu pro každý posluchač) a přizpůsobit vyloučení, vlastní pravidla, spravované sady pravidel a všechna ostatní nastavení WAF pro jednotlivé weby.
Řekněme, že pro vaši službu Application Gateway platí globální zásady. Pak na naslouchací komponentě v systému Application Gateway použijete jiné zásady. Zásady tohoto naslouchacího zařízení nyní platí pouze pro toto naslouchací zařízení. Pro všechny ostatní naslouchací procesy a pravidla založená na cestě, ke kterým nejsou přiřazené konkrétní zásady, stále platí globální zásady služby Application Gateway.
Per-URI politika
Pro ještě větší přizpůsobení až na úroveň identifikátoru URI můžete přidružit zásadu WAF k pravidlu založenému na cestě. Pokud existují určité stránky v rámci jednoho webu, které vyžadují různé zásady, můžete provést změny zásad WAF, které mají vliv pouze na daný identifikátor URI. To se může týkat platební nebo přihlašovací stránky, nebo jakýchkoli jiných URI, které vyžadují ještě specifičtější WAF politiku než ostatní weby chráněné vaším WAF.
Stejně jako u zásad WAF pro jednotlivé lokality mají konkrétnější zásady přednost před méně konkrétními zásadami. To znamená, že zásada pro jednotlivé identifikátory URI v mapě cest URL přepíše všechny zásady WAF pro jednotlivé weby nebo globální zásady WAF nad ní.
Příklad
Řekněme, že máte tři lokality: contoso.com, fabrikam.com a adatum.com všechny za stejnou aplikační bránou. Chcete použít WAF na všechny tři weby, ale potřebujete zvýšit zabezpečení adatum.com, protože tam zákazníci přicházejí, procházejí web a nakupují produkty.
Na WAF můžete použít globální zásady s některými základními nastaveními, vyloučeními nebo vlastními pravidly, pokud je to nutné, abyste zabránili některým falešně pozitivním výsledkům blokovat provoz. V takovém případě není nutné mít spuštěná globální pravidla injektáže SQL, protože fabrikam.com a contoso.com jsou statické stránky bez back-endu SQL. Tato pravidla tedy můžete v globálních zásadách zakázat.
Tyto globální zásady jsou vhodné pro contoso.com a fabrikam.com, ale musíte být opatrnější při adatum.com, kde se zpracovávají přihlašovací údaje a platby. Na naslouchací proces Adatum můžete použít zásadu pro jednotlivé weby a nechat pravidla SQL spuštěná. Předpokládejme také, že soubor cookie blokuje určitý provoz, takže můžete vytvořit výjimku pro tento soubor cookie a tím zastavit falešný pozitivní výsledek.
Adresa adatum.com/payments je místo, kde je třeba být opatrný. Na tento identifikátor URI tedy použijte jinou zásadu a ponechte všechna pravidla povolená a také odeberte všechna vyloučení.
V tomto příkladu máte globální zásady, které se vztahují na dvě lokality. Máte politiku pro jednotlivé lokality, která platí pro jednu lokalitu, a pak politiku pro jednotlivé URI, která platí pro jedno konkrétní pravidlo založené na cestě. Viz Konfigurace zásad WAF pro jednotlivé lokality pomocí Azure PowerShell pro odpovídající ukázkový příkaz PowerShell.
Stávající konfigurace WAF
Všechna nová nastavení WAF Web Application Firewallu (vlastní pravidla, konfigurace spravované sady pravidel, vyloučení atd.) existují v zásadách WAF. Pokud máte existující WAF, mohou tato nastavení stále existovat ve vaší konfiguraci WAF. Další informace o přechodu na nové zásady WAF najdete v tématu Migrace konfigurace WAF na zásadu WAF.