Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Web Application Firewall poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Všechny funkce firewallu webových aplikací Azure existují v zásadách, na které je možné odkazovat v pravidlech směrování založeném na naslouchacím procesu nebo cestě v rámci konfigurace YAML rozhraní API brány.
Implementace služby Application Gateway pro kontejnery
Zásady zabezpečení
Application Gateway pro kontejnery zavádí nový podřízený prostředek volaný SecurityPolicy v Azure Resource Manageru. Prostředek SecurityPolicy přináší obor, na který může odkazovat azure Web Application Firewall, na který může řadič ALB odkazovat.
Vlastní prostředek Kubernetes
Application Gateway pro kontejnery zavádí nový vlastní zdroj s názvem WebApplicationFirewallPolicy. Vlastní prostředek zodpovídá za definování zásad služby Azure Web Application Firewall, které se mají použít v jakém oboru.
Prostředek WebApplicationFirewallPolicy může cílit na následující prostředky Kubernetes:
GatewayHTTPRoute
Prostředek WebApplicationFirewallPolicy může také odkazovat na následující části s názvem pro další členitost:
-
Gateway:Listener
Ukázkové implementace
Určení rozsahu zásad pro prostředek brány
Tady je příklad konfigurace YAML, který ukazuje cílení na prostředek Application Gateway, jenž by se aplikoval na všechny posluchače v rámci front-endového prostředku služby Application Gateway pro kontejnery.
apiVersion: alb.networking.azure.io/v1
kind: WebApplicationFirewallPolicy
metadata:
name: sample-waf-policy
namespace: test-infra
spec:
targetRef:
group: gateway.networking.k8s.io
kind: Gateway
name: contoso-waf-route
namespace: test-infra
webApplicationFirewall:
id: /subscriptions/.../Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies/waf-policy-0
Rozsah zásad omezte na konkrétní posluchač prostředku brány.
Gateway V rámci prostředku můžete mít různé názvy hostitelů definované různými posluchači (např. contoso.com a fabrikam.com). Pokud je contoso.com název hostitele naslouchacího procesu A a fabrikam.com je název hostitele naslouchacího procesuB, můžete definovat sectionNames vlastnost pro výběr správného naslouchacího procesu (například naslouchací proces A pro contoso.com).
apiVersion: alb.networking.azure.io/v1
kind: WebApplicationFirewallPolicy
metadata:
name: sample-waf-policy
namespace: test-infra
spec:
targetRef:
group: gateway.networking.k8s.io
kind: Gateway
name: contoso-waf-route
namespace: test-infra
sectionNames: ["contoso-listener"]
webApplicationFirewall:
id: /subscriptions/.../Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies/waf-policy-0
Zásady rozsahu napříč všemi trasami a cestami
Tento příklad ukazuje, jak cílit na definovaný prostředek HTTPRoute za účelem použití zásad na všechny směrovací pravidla a cesty v rámci tohoto konkrétního prostředku HTTPRoute.
apiVersion: alb.networking.azure.io/v1
kind: WebApplicationFirewallPolicy
metadata:
name: sample-waf-policy
namespace: test-infra
spec:
targetRef:
group: gateway.networking.k8s.io
kind: HTTPRoute
name: contoso-pathA
namespace: test-infra
webApplicationFirewall:
id: /subscriptions/.../Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies/waf-policy-0
Určení rozsahu zásad na konkrétní cestu
Pokud chcete použít různé zásady WAF pro různé cesty stejné Gateway nebo brány –> sectionName naslouchacího procesu, můžete definovat dva prostředky HTTPRoute, z nichž každá má jedinečnou cestu, která odkazuje na příslušné zásady WAF.
apiVersion: alb.networking.azure.io/v1
kind: WebApplicationFirewallPolicy
metadata:
name: sample-waf-policy-A
namespace: test-infra
spec:
targetRef:
group: gateway.networking.k8s.io
kind: HTTPRoute
name: contoso-pathA
namespace: test-infra
webApplicationFirewall:
id: /subscriptions/.../Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies/waf-policy-0
---
apiVersion: alb.networking.azure.io/v1
kind: WebApplicationFirewallPolicy
metadata:
name: sample-waf-policy-B
namespace: test-infra
spec:
targetRef:
group: gateway.networking.k8s.io
kind: HTTPRoute
name: contoso-pathB
namespace: test-infra
webApplicationFirewall:
id: /subscriptions/.../Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies/waf-policy-1
Omezení
Následující funkce nejsou podporovány v zásadách firewallu webových aplikací Azure, které jsou přidružené ke službě Application Gateway pro kontejnery:
- Zásady mezi oblastmi a mezi předplatnými: Zásady WAF musí být ve stejném předplatném a oblasti jako prostředek služby Application Gateway for Containers.
- Spravovaná pravidla Core Rule Set (CRS): Služba Application Gateway pro kontejnery WAF podporuje pouze sady spravovaných pravidel DRS (Default Rule Set).
- Starší sada pravidel Správce robotů: Sada pravidel Správce robotů 0.1 se nepodporuje, ale sady pravidel Správce robotů verze 1.0 a 1.1 jsou podporovány.
- Akce JavaScript challenge v pravidlech Bot Manageru: Nelze nastavit akci pravidla Správce robotů na JavaScript challenge.
- Akce výzvy Captcha u pravidel systému Bot Manager: Nelze nakonfigurovat akci pravidla v Bot Manageru na Captcha.
- Microsoft Security Copilot: Služba Application Gateway for Containers WAF nepodporuje Microsoft Security Copilot.
- Vlastní bloková odpověď: Nastavení vlastní blokové odpovědi v zásadách WAF není v rámci WAF služby Application Gateway pro kontejnery podporováno.
- Hlavička X-Forwarded-For (XFF):Application Gateway for Containers WAF nepodporuje proměnnou XFF ve vlastních pravidlech.
- Sada pravidel HTTP DDoS: Tato spravovaná sada pravidel není ve službě Application Gateway pro kontejnery podporovaná.
Pricing
Podrobnosti o cenách najdete v tématu Vysvětlení cen služby Application Gateway pro kontejnery.