Microsoft.Network ApplicationGatewayWebApplicationFirewallPolicies 1. 2. 2023
Definice prostředku Bicep
Typ prostředku ApplicationGatewayWebApplicationFirewallPolicies je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků – viz příkazy pro nasazení skupin prostředků.
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies, přidejte do šablony následující bicep.
resource symbolicname 'Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies@2023-02-01' = {
name: 'string'
location: 'string'
tags: {
tagName1: 'tagValue1'
tagName2: 'tagValue2'
}
properties: {
customRules: [
{
action: 'string'
groupByUserSession: [
{
groupByVariables: [
{
variableName: 'string'
}
]
}
]
matchConditions: [
{
matchValues: [
'string'
]
matchVariables: [
{
selector: 'string'
variableName: 'string'
}
]
negationConditon: bool
operator: 'string'
transforms: [
'string'
]
}
]
name: 'string'
priority: int
rateLimitDuration: 'string'
rateLimitThreshold: int
ruleType: 'string'
state: 'string'
}
]
managedRules: {
exclusions: [
{
exclusionManagedRuleSets: [
{
ruleGroups: [
{
ruleGroupName: 'string'
rules: [
{
ruleId: 'string'
}
]
}
]
ruleSetType: 'string'
ruleSetVersion: 'string'
}
]
matchVariable: 'string'
selector: 'string'
selectorMatchOperator: 'string'
}
]
managedRuleSets: [
{
ruleGroupOverrides: [
{
ruleGroupName: 'string'
rules: [
{
action: 'string'
ruleId: 'string'
state: 'string'
}
]
}
]
ruleSetType: 'string'
ruleSetVersion: 'string'
}
]
}
policySettings: {
customBlockResponseBody: 'string'
customBlockResponseStatusCode: int
fileUploadEnforcement: bool
fileUploadLimitInMb: int
logScrubbing: {
scrubbingRules: [
{
matchVariable: 'string'
selector: 'string'
selectorMatchOperator: 'string'
state: 'string'
}
]
state: 'string'
}
maxRequestBodySizeInKb: int
mode: 'string'
requestBodyCheck: bool
requestBodyEnforcement: bool
requestBodyInspectLimitInKB: int
state: 'string'
}
}
}
Hodnoty vlastností
ApplicationGatewayWebApplicationFirewallPolicies
| Název | Description | Hodnota |
|---|---|---|
| name | Název prostředku | string (povinné) |
| location | Umístění prostředku. | řetězec |
| tags | Značky prostředků. | Slovník názvů a hodnot značek. Zobrazit značky v šablonách |
| properties | Vlastnosti zásad firewallu webových aplikací. | WebApplicationFirewallPolicyPropertiesFormat |
WebApplicationFirewallPolicyPropertiesFormat
| Název | Description | Hodnota |
|---|---|---|
| vlastní pravidla | Vlastní pravidla uvnitř zásad. | WebApplicationFirewallCustomRule[] |
| spravovaná pravidla | Popisuje strukturu managedRules. | Definice ManagedRulesDefinition (povinné) |
| policySettings | PolicySettings pro zásadu. | Nastavení zásad |
WebApplicationFirewallCustomRule
| Název | Description | Hodnota |
|---|---|---|
| action | Typ akcí. | 'Povolit' 'Blok' Protokol (povinné) |
| groupByUserSession | Seznam identifikátorů relací uživatele seskupuje podle klauzulí. | GroupByUserSession[] |
| matchConditions | Seznam podmínek shody | MatchCondition[] (povinné) |
| name | Název prostředku, který je v rámci zásady jedinečný. Tento název se dá použít pro přístup k prostředku. | řetězec Omezení: Maximální délka = 128 |
| Prioritou | Priorita pravidla. Pravidla s nižší hodnotou budou vyhodnocena před pravidly s vyšší hodnotou. | int (povinné) |
| rateLimitDuration | Doba trvání, po kterou se použijí zásady omezení četnosti. Použije se pouze v případě, že ruleType je RateLimitRule. | 'FiveMins' 'OneMin' |
| rateLimitThreshold | Prahová hodnota limitu přenosové rychlosti, která se použije v případě, že typ pravidla je RateLimitRule. Musí být větší než nebo rovno 1. | int |
| typ pravidla | Typ pravidla. | 'Neplatné' 'MatchRule' 'RateLimitRule' (povinné) |
| state | Popisuje, jestli je vlastní pravidlo v povoleném nebo zakázaném stavu. Výchozí hodnota je Povoleno, pokud není zadána. | Zakázáno Povoleno |
GroupByUserSession
| Název | Description | Hodnota |
|---|---|---|
| groupByVariables | Seznam proměnných klauzule seskupování podle. | GroupByVariable[] (povinné) |
GroupByVariable
| Název | Description | Hodnota |
|---|---|---|
| název_proměnné | Proměnná klauzule relace uživatele. | ClientAddr 'GeoLocation' Žádný (povinné) |
MatchCondition
| Název | Description | Hodnota |
|---|---|---|
| matchValues | Hodnota shody. | string[] (povinné) |
| matchVariables | Seznam proměnných shody | MatchVariable[] (povinné) |
| negationConditon | Jestli se jedná o negovat podmínku nebo ne. | bool |
| operátor | Operátor, který se má shodovat. | 'Any' (Libovolný) 'StartsWith' 'Obsahuje' 'EndsWith' 'Rovná se' GeoMatch 'GreaterThan' "GreaterThanOrEqual" 'IPMatch' "LessThan" "LessThanOrEqual" Regulární výraz (povinné) |
| Transformace | Seznam transformací | Pole řetězců obsahující některou z těchto možností: 'HtmlEntityDecode' "Malá písmena" RemoveNulls 'Trim' "Velká písmena" 'UrlDecode' 'UrlEncode' |
MatchVariable
| Název | Description | Hodnota |
|---|---|---|
| selector | Selektor proměnné shody. | řetězec |
| název_proměnné | Shoda s proměnnou. | 'PostArgs' 'QueryString' RemoteAddr 'RequestBody' 'RequestCookies' 'RequestHeaders' 'RequestMethod' Identifikátor RequestUri (povinné) |
Definice managedRulesDefinition
| Název | Description | Hodnota |
|---|---|---|
| Vyloučení | Vyloučení, která se vztahují na zásadu. | OwaspCrsExclusionEntry[] |
| managedRuleSets | Spravované sady pravidel, které jsou přidružené k zásadě. | ManagedRuleSet[] (povinné) |
OwaspCrsExclusionEntry
| Název | Description | Hodnota |
|---|---|---|
| exclusionManagedRuleSets | Spravované sady pravidel, které jsou přidružené k vyloučení. | ExclusionManagedRuleSet[] |
| matchVariable | Proměnná, která má být vyloučena. | RequestArgKeys 'RequestArgNames' 'RequestArgValues' RequestCookieKeys 'RequestCookieNames' RequestCookieValues 'RequestHeaderKeys' 'RequestHeaderNames' RequestHeaderValues (povinné) |
| selector | Pokud matchVariable je kolekce, operátor slouží k určení prvků v kolekci, na které se toto vyloučení vztahuje. | string (povinné) |
| selectorMatchOperator | Pokud je matchVariable kolekce, pomocí selektoru určete, na které prvky v kolekci se toto vyloučení vztahuje. | 'Obsahuje' 'EndsWith' 'Rovná se' 'EqualsAny' StartsWith (povinné) |
ExclusionManagedRuleSet
| Název | Description | Hodnota |
|---|---|---|
| ruleGroups | Definuje skupiny pravidel, které se použijí na sadu pravidel. | ExclusionManagedRuleGroup[] |
| typ ruleSetType | Definuje typ sady pravidel, který se má použít. | string (povinné) |
| ruleSetVersion | Definuje verzi sady pravidel, která se má použít. | string (povinné) |
ExclusionManagedRuleGroup
| Název | Description | Hodnota |
|---|---|---|
| ruleGroupName | Skupina spravovaných pravidel pro vyloučení. | string (povinné) |
| pravidla | Seznam pravidel, která budou vyloučena. Pokud není zadán žádný parametr, budou všechna pravidla ve skupině vyloučena. | ExclusionManagedRule[] |
ExclusionManagedRule
| Název | Description | Hodnota |
|---|---|---|
| id pravidla | Identifikátor spravovaného pravidla. | string (povinné) |
ManagedRuleSet
| Název | Description | Hodnota |
|---|---|---|
| ruleGroupOverrides | Definuje přepsání skupiny pravidel, která se mají použít na sadu pravidel. | ManagedRuleGroupOverride[] |
| typ ruleSetType | Definuje typ sady pravidel, který se má použít. | string (povinné) |
| ruleSetVersion | Definuje verzi sady pravidel, která se má použít. | string (povinné) |
ManagedRuleGroupOverride
| Název | Description | Hodnota |
|---|---|---|
| ruleGroupName | Skupina spravovaných pravidel, která se má přepsat. | string (povinné) |
| pravidla | Seznam pravidel, která budou zakázána. Pokud není zadán žádný parametr, budou všechna pravidla ve skupině zakázaná. | ManagedRuleOverride[] |
ManagedRuleOverride
| Název | Description | Hodnota |
|---|---|---|
| action | Popisuje akci přepsání, která se má použít při shodách pravidla. | 'Povolit' 'AnomalyScoring' 'Blok' 'Protokol' |
| id pravidla | Identifikátor spravovaného pravidla. | string (povinné) |
| state | Stav spravovaného pravidla. Výchozí hodnota je Zakázáno, pokud není zadána. | Zakázáno Povoleno |
Nastavení zásad
| Název | Description | Hodnota |
|---|---|---|
| customBlockResponseBody | Pokud je typ akce blok, zákazník může přepsat text odpovědi. Tělo musí být zadáno v kódování base64. | řetězec Omezení: Maximální délka = 32768 Vzor = ^(?:[A-Za-z0-9+/]{4})*(?:[A-Za-z0-9+/]{2}==|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{4})$ |
| customBlockResponseStatusCode | Pokud je typ akce blok, může zákazník přepsat stavový kód odpovědi. | int Omezení: Minimální hodnota = 0 |
| fileUploadEnforcement | Jestli povolíte WAF vynucovat limity nahrávání souborů. | bool |
| fileUploadLimitInMb | Maximální velikost nahrání souboru v MB pro WAF | int Omezení: Minimální hodnota = 0 |
| logScrubbing | Čištění citlivých polí protokolu | PolicySettingsLogScrubbing |
| maxRequestBodySizeInKb | Maximální velikost textu požadavku v kB pro WAF | int Omezení: Minimální hodnota = 8 |
| režim | Režim zásad. | 'Detekce' 'Prevence' |
| requestBodyCheck | Jestli má WAF povolit kontrolu textu požadavku. | bool |
| requestBodyEnforcement | Jestli povolí waf vynucovat omezení textu požadavku. | bool |
| requestBodyInspectLimitInKB | Maximální limit kontroly v KB pro kontrolu subjektu žádosti pro WAF. | int |
| state | Stav zásady. | Zakázáno 'Povoleno' |
PolicySettingsLogScrubbing
| Název | Description | Hodnota |
|---|---|---|
| scrubbingRules | Pravidla, která se použijí na protokoly pro scrubbing. | WebApplicationFirewallScrubbingRules[] |
| state | Stav konfigurace scrubbing protokolu. Výchozí hodnota je Povoleno. | Zakázáno 'Povoleno' |
WebApplicationFirewallScrubbingRules
| Název | Description | Hodnota |
|---|---|---|
| matchVariable | Proměnná, která se má vymazat z protokolů. | RequestArgNames RequestCookieNames 'RequestHeaderNames' RequestIPAddress 'RequestJSONArgNames' RequestPostArgNames (povinné) |
| selector | Pokud je matchVariable kolekce, slouží operátor k určení prvků v kolekci, na které se toto pravidlo vztahuje. | řetězec |
| selectorMatchOperator | Pokud je matchVariable kolekce, pomocí selektoru určete, na které prvky v kolekci se toto pravidlo vztahuje. | "Rovná se" EqualsAny (povinné) |
| state | Definuje stav pravidla scrubbingu protokolu. Výchozí hodnota je Povoleno. | Zakázáno 'Povoleno' |
Šablony pro rychlý start
Následující šablony rychlého startu nasadí tento typ prostředku.
| Template (Šablona) | Description |
|---|---|
Create Azure WAF v2 na Azure Application Gateway |
Tato šablona vytvoří Azure Web Application Firewall v2 na Azure Application Gateway se dvěma servery Windows Server 2016 v back-endovém fondu. |
| Cluster AKS se službou NAT Gateway a Application Gateway |
Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a Application Gateway pro příchozí připojení. |
| Front Door Standard/Premium s Application Gateway původem |
Tato šablona vytvoří instanci služby Front Door Standard/Premium a Application Gateway a pomocí zásad NSG a WAF ověří, že provoz prošel zdrojem služby Front Door. |
| Front Door s Container Instances a Application Gateway |
Tato šablona vytvoří Front Door Standard/Premium se skupinou kontejnerů a Application Gateway. |
| Cluster AKS s kontrolerem příchozího přenosu dat Application Gateway |
Tato ukázka ukazuje, jak nasadit cluster AKS s Application Gateway, kontrolerem příchozího přenosu dat Application Gateway, Azure Container Registry, Log Analytics a Key Vault |
| Application Gateway s WAF a zásadami brány firewall |
Tato šablona vytvoří Application Gateway s nakonfigurovaným WAF spolu se zásadami brány firewall. |
Definice prostředku šablony ARM
Typ prostředku ApplicationGatewayWebApplicationFirewallPolicies je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků – viz příkazy nasazení skupiny prostředků.
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies, přidejte do šablony následující kód JSON.
{
"type": "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies",
"apiVersion": "2023-02-01",
"name": "string",
"location": "string",
"tags": {
"tagName1": "tagValue1",
"tagName2": "tagValue2"
},
"properties": {
"customRules": [
{
"action": "string",
"groupByUserSession": [
{
"groupByVariables": [
{
"variableName": "string"
}
]
}
],
"matchConditions": [
{
"matchValues": [ "string" ],
"matchVariables": [
{
"selector": "string",
"variableName": "string"
}
],
"negationConditon": "bool",
"operator": "string",
"transforms": [ "string" ]
}
],
"name": "string",
"priority": "int",
"rateLimitDuration": "string",
"rateLimitThreshold": "int",
"ruleType": "string",
"state": "string"
}
],
"managedRules": {
"exclusions": [
{
"exclusionManagedRuleSets": [
{
"ruleGroups": [
{
"ruleGroupName": "string",
"rules": [
{
"ruleId": "string"
}
]
}
],
"ruleSetType": "string",
"ruleSetVersion": "string"
}
],
"matchVariable": "string",
"selector": "string",
"selectorMatchOperator": "string"
}
],
"managedRuleSets": [
{
"ruleGroupOverrides": [
{
"ruleGroupName": "string",
"rules": [
{
"action": "string",
"ruleId": "string",
"state": "string"
}
]
}
],
"ruleSetType": "string",
"ruleSetVersion": "string"
}
]
},
"policySettings": {
"customBlockResponseBody": "string",
"customBlockResponseStatusCode": "int",
"fileUploadEnforcement": "bool",
"fileUploadLimitInMb": "int",
"logScrubbing": {
"scrubbingRules": [
{
"matchVariable": "string",
"selector": "string",
"selectorMatchOperator": "string",
"state": "string"
}
],
"state": "string"
},
"maxRequestBodySizeInKb": "int",
"mode": "string",
"requestBodyCheck": "bool",
"requestBodyEnforcement": "bool",
"requestBodyInspectLimitInKB": "int",
"state": "string"
}
}
}
Hodnoty vlastností
ApplicationGatewayWebApplicationFirewallPolicies
| Název | Description | Hodnota |
|---|---|---|
| typ | Typ prostředku | Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies |
| apiVersion | Verze rozhraní API prostředků | '2023-02-01' |
| name | Název prostředku | string (povinné) |
| location | Umístění prostředku. | řetězec |
| tags | Značky prostředků. | Slovník názvů značek a hodnot. Viz Značky v šablonách |
| properties | Vlastnosti zásad firewallu webových aplikací. | WebApplicationFirewallPolicyPropertiesFormat |
WebApplicationFirewallPolicyPropertiesFormat
| Název | Description | Hodnota |
|---|---|---|
| customRules | Vlastní pravidla uvnitř zásad. | WebApplicationFirewallCustomRule[] |
| managedRules | Popisuje strukturu spravovaných pravidel. | ManagedRulesDefinition (povinné) |
| policySettings | PolicySettings pro zásadu. | Nastavení zásad |
WebApplicationFirewallCustomRule
| Název | Description | Hodnota |
|---|---|---|
| action | Typ akcí. | 'Povolit' 'Blokovat' 'Protokol' (povinné) |
| groupByUserSession | Seznam skupin identifikátorů relací uživatele podle klauzulí | GroupByUserSession[] |
| matchConditions | Seznam podmínek shody | MatchCondition[] (povinné) |
| name | Název prostředku, který je jedinečný v rámci zásady. Tento název se dá použít pro přístup k prostředku. | řetězec Omezení: Maximální délka = 128 |
| Prioritou | Priorita pravidla. Pravidla s nižší hodnotou budou vyhodnocena před pravidly s vyšší hodnotou. | int (povinné) |
| rateLimitDuration | Doba trvání, po kterou se použijí zásady omezení rychlosti. Platí pouze v případě, že ruleType je RateLimitRule. | "FiveMins" 'OneMin' |
| rateLimitThreshold | Prahová hodnota limitu rychlosti, která se má použít v případě ruleType, je RateLimitRule. Musí být větší než nebo rovno 1. | int |
| ruleType | Typ pravidla. | "Neplatné" 'MatchRule' RateLimitRule (povinné) |
| state | Popisuje, jestli je vlastní pravidlo v povoleném nebo zakázaném stavu. Výchozí hodnota je Povoleno, pokud není zadáno. | Zakázáno 'Povoleno' |
GroupByUserSession
| Název | Description | Hodnota |
|---|---|---|
| groupByVariables | Seznam proměnných klauzulí seskupování podle. | GroupByVariable[] (povinné) |
GroupByVariable
| Název | Description | Hodnota |
|---|---|---|
| název_proměnné | Proměnná klauzule relace uživatele. | ClientAddr 'GeoLocation' Žádný (povinné) |
MatchCondition
| Název | Description | Hodnota |
|---|---|---|
| matchValues | Shodovat hodnotu. | string[] (povinné) |
| matchVariables | Seznam proměnných shody | MatchVariable[] (povinné) |
| negationConditon | Jestli je to negovaná podmínka nebo ne. | bool |
| operátor | Operátor, který má být spárován. | 'Any' (Jakýkoliv) 'StartsWith' 'Obsahuje' "EndsWith" "Rovná se" 'GeoMatch' "GreaterThan" "GreaterThanOrEqual" 'IPMatch' "LessThan" "LessThanOrEqual" 'Regex' (povinné) |
| Transformace | Seznam transformací | Pole řetězců obsahující některou z těchto možností: HtmlEntityDecode 'Malá písmena' 'RemoveNulls' 'Střih' 'Velká písmena' 'UrlDecode' 'UrlEncode' |
MatchVariable
| Název | Description | Hodnota |
|---|---|---|
| selector | Selektor proměnné shody. | řetězec |
| název_proměnné | Shoda s proměnnou. | 'PostArgs' 'QueryString' RemoteAddr 'RequestBody' 'RequestCookies' 'RequestHeaders' 'RequestMethod' RequestUri (povinné) |
ManagedRulesDefinition
| Název | Description | Hodnota |
|---|---|---|
| Vyloučení | Vyloučení, která se použijí na zásadu. | OwaspCrsExclusionEntry[] |
| managedRuleSets | Sady spravovaných pravidel, které jsou přidružené k zásadám. | ManagedRuleSet[] (povinné) |
OwaspCrsExclusionEntry
| Název | Description | Hodnota |
|---|---|---|
| exclusionManagedRuleSets | Sady spravovaných pravidel, které jsou přidruženy k vyloučení. | ExclusionManagedRuleSet[] |
| matchVariable | Proměnná, která má být vyloučena. | 'RequestArgKeys' RequestArgNames 'RequestArgValues' 'RequestCookieKeys' RequestCookieNames RequestCookieValues 'RequestHeaderKeys' 'RequestHeaderNames' RequestHeaderValues (povinné) |
| selector | Pokud je matchVariable kolekce, slouží operátor k určení prvků v kolekci, na které se toto vyloučení vztahuje. | string (povinné) |
| selectorMatchOperator | Pokud je matchVariable kolekce, pomocí selektoru určete, na které prvky v kolekci se toto vyloučení vztahuje. | 'Obsahuje' "EndsWith" "Rovná se" 'EqualsAny' "StartsWith" (povinné) |
ExclusionManagedRuleSet
| Název | Description | Hodnota |
|---|---|---|
| ruleGroups | Definuje skupiny pravidel, které se mají použít na sadu pravidel. | ExclusionManagedRuleGroup[] |
| ruleSetType | Definuje typ sady pravidel, který se má použít. | string (povinné) |
| ruleSetVersion | Definuje verzi sady pravidel, která se má použít. | string (povinné) |
ExclusionManagedRuleGroup
| Název | Description | Hodnota |
|---|---|---|
| ruleGroupName | Skupina spravovaných pravidel pro vyloučení | string (povinné) |
| pravidla | Seznam pravidel, která budou vyloučena. Pokud není zadáno žádné, budou všechna pravidla ve skupině vyloučena. | ExclusionManagedRule[] |
ExclusionManagedRule
| Název | Description | Hodnota |
|---|---|---|
| ruleId | Identifikátor spravovaného pravidla. | string (povinné) |
ManagedRuleSet
| Název | Description | Hodnota |
|---|---|---|
| ruleGroupOverrides | Definuje přepsání skupin pravidel, která se mají použít na sadu pravidel. | ManagedRuleGroupOverride[] |
| ruleSetType | Definuje typ sady pravidel, který se má použít. | string (povinné) |
| ruleSetVersion | Definuje verzi sady pravidel, která se má použít. | string (povinné) |
ManagedRuleGroupOverride
| Název | Description | Hodnota |
|---|---|---|
| ruleGroupName | Skupina spravovaných pravidel, která se má přepsat. | string (povinné) |
| pravidla | Seznam pravidel, která budou zakázána. Pokud není zadáno žádné, budou všechna pravidla ve skupině zakázaná. | ManagedRuleOverride[] |
ManagedRuleOverride
| Název | Description | Hodnota |
|---|---|---|
| action | Popisuje akci přepsání, která se má použít při shodách pravidel. | 'Povolit' 'AnomálieScoring' 'Blokovat' 'Protokol' |
| ruleId | Identifikátor spravovaného pravidla. | string (povinné) |
| state | Stav spravovaného pravidla. Výchozí hodnota je Zakázáno, pokud není zadáno. | Zakázáno 'Povoleno' |
Nastavení zásad
| Název | Description | Hodnota |
|---|---|---|
| customBlockResponseBody | Pokud je typ akce blok, může zákazník přepsat text odpovědi. Tělo musí být zadáno v kódování base64. | řetězec Omezení: Maximální délka = 32768 Pattern = ^(?:[A-Za-z0-9+/]{4})*(?:[A-Za-z0-9+/]{2}==|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{4})$ |
| customBlockResponseStatusCode | Pokud je typ akce blok, zákazník může stavový kód odpovědi přepsat. | int Omezení: Minimální hodnota = 0 |
| fileUploadEnforcement | Jestli povolíte WAF vynucovat limity nahrávání souborů. | bool |
| fileUploadLimitInMb | Maximální velikost nahrání souboru v MB pro WAF | int Omezení: Minimální hodnota = 0 |
| logScrubbing | Čištění citlivých polí protokolu | PolicySettingsLogScrubbing |
| maxRequestBodySizeInKb | Maximální velikost textu požadavku v kB pro WAF | int Omezení: Minimální hodnota = 8 |
| režim | Režim zásad. | 'Detekce' 'Prevence' |
| requestBodyCheck | Jestli má WAF povolit kontrolu textu požadavku. | bool |
| requestBodyEnforcement | Jestli povolí waf vynucovat omezení textu požadavku. | bool |
| requestBodyInspectLimitInKB | Maximální limit kontroly v KB pro kontrolu subjektu žádosti pro WAF. | int |
| state | Stav zásady. | Zakázáno 'Povoleno' |
PolicySettingsLogScrubbing
| Název | Description | Hodnota |
|---|---|---|
| scrubbingRules | Pravidla, která se použijí na protokoly pro scrubbing. | WebApplicationFirewallScrubbingRules[] |
| state | Stav konfigurace scrubbing protokolu. Výchozí hodnota je Povoleno. | Zakázáno 'Povoleno' |
WebApplicationFirewallScrubbingRules
| Název | Description | Hodnota |
|---|---|---|
| matchVariable | Proměnná, která se má vymazat z protokolů. | RequestArgNames RequestCookieNames 'RequestHeaderNames' RequestIPAddress 'RequestJSONArgNames' RequestPostArgNames (povinné) |
| selector | Pokud je matchVariable kolekce, slouží operátor k určení prvků v kolekci, na které se toto pravidlo vztahuje. | řetězec |
| selectorMatchOperator | Pokud je matchVariable kolekce, pomocí selektoru určete, na které prvky v kolekci se toto pravidlo vztahuje. | "Rovná se" EqualsAny (povinné) |
| state | Definuje stav pravidla scrubbingu protokolu. Výchozí hodnota je Povoleno. | Zakázáno 'Povoleno' |
Šablony pro rychlý start
Následující šablony rychlého startu nasadí tento typ prostředku.
| Template (Šablona) | Description |
|---|---|
| Create Azure WAF v2 na Azure Application Gateway |
Tato šablona vytvoří Azure Web Application Firewall v2 na Azure Application Gateway se dvěma servery Windows Server 2016 v back-endovém fondu. |
| Cluster AKS se službou NAT Gateway a Application Gateway |
Tato ukázka ukazuje, jak nasadit cluster AKS se službou NAT Gateway pro odchozí připojení a Application Gateway pro příchozí připojení. |
| Front Door Standard/Premium s Application Gateway původem |
Tato šablona vytvoří instanci služby Front Door Standard/Premium a Application Gateway a pomocí zásad NSG a WAF ověří, že provoz prošel zdrojem služby Front Door. |
| Front Door s Container Instances a Application Gateway |
Tato šablona vytvoří Front Door Standard/Premium se skupinou kontejnerů a Application Gateway. |
| Cluster AKS s kontrolerem příchozího přenosu dat Application Gateway |
Tato ukázka ukazuje, jak nasadit cluster AKS s Application Gateway, kontrolerem příchozího přenosu dat Application Gateway, Azure Container Registry, Log Analytics a Key Vault |
| Application Gateway s WAF a zásadami brány firewall |
Tato šablona vytvoří Application Gateway s nakonfigurovaným WAF spolu se zásadami brány firewall. |
Definice prostředku Terraformu (zprostředkovatele AzAPI)
Typ prostředku ApplicationGatewayWebApplicationFirewallPolicies je možné nasadit s operacemi, které cílí na:
- Skupiny prostředků
Seznam změněných vlastností v jednotlivých verzích rozhraní API najdete v protokolu změn.
Formát prostředku
Pokud chcete vytvořit prostředek Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies, přidejte do šablony následující Terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies@2023-02-01"
name = "string"
location = "string"
parent_id = "string"
tags = {
tagName1 = "tagValue1"
tagName2 = "tagValue2"
}
body = jsonencode({
properties = {
customRules = [
{
action = "string"
groupByUserSession = [
{
groupByVariables = [
{
variableName = "string"
}
]
}
]
matchConditions = [
{
matchValues = [
"string"
]
matchVariables = [
{
selector = "string"
variableName = "string"
}
]
negationConditon = bool
operator = "string"
transforms = [
"string"
]
}
]
name = "string"
priority = int
rateLimitDuration = "string"
rateLimitThreshold = int
ruleType = "string"
state = "string"
}
]
managedRules = {
exclusions = [
{
exclusionManagedRuleSets = [
{
ruleGroups = [
{
ruleGroupName = "string"
rules = [
{
ruleId = "string"
}
]
}
]
ruleSetType = "string"
ruleSetVersion = "string"
}
]
matchVariable = "string"
selector = "string"
selectorMatchOperator = "string"
}
]
managedRuleSets = [
{
ruleGroupOverrides = [
{
ruleGroupName = "string"
rules = [
{
action = "string"
ruleId = "string"
state = "string"
}
]
}
]
ruleSetType = "string"
ruleSetVersion = "string"
}
]
}
policySettings = {
customBlockResponseBody = "string"
customBlockResponseStatusCode = int
fileUploadEnforcement = bool
fileUploadLimitInMb = int
logScrubbing = {
scrubbingRules = [
{
matchVariable = "string"
selector = "string"
selectorMatchOperator = "string"
state = "string"
}
]
state = "string"
}
maxRequestBodySizeInKb = int
mode = "string"
requestBodyCheck = bool
requestBodyEnforcement = bool
requestBodyInspectLimitInKB = int
state = "string"
}
}
})
}
Hodnoty vlastností
ApplicationGatewayWebApplicationFirewallPolicies
| Název | Description | Hodnota |
|---|---|---|
| typ | Typ prostředku | Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies@2023-02-01 |
| name | Název prostředku | string (povinné) |
| location | Umístění prostředku. | řetězec |
| parent_id | K nasazení do skupiny prostředků použijte ID této skupiny prostředků. | string (povinné) |
| tags | Značky prostředků. | Slovník názvů značek a hodnot. |
| properties | Vlastnosti zásad firewallu webových aplikací. | WebApplicationFirewallPolicyPropertiesFormat |
WebApplicationFirewallPolicyPropertiesFormat
| Název | Description | Hodnota |
|---|---|---|
| customRules | Vlastní pravidla uvnitř zásad. | WebApplicationFirewallCustomRule[] |
| managedRules | Popisuje strukturu managedRules. | Definice ManagedRulesDefinition (povinné) |
| policySettings | PolicySettings pro zásadu. | Nastavení zásad |
WebApplicationFirewallCustomRule
| Název | Description | Hodnota |
|---|---|---|
| action | Typ akcí. | "Povolit" "Blokovat" Protokol (povinné) |
| groupByUserSession | Seznam identifikátorů relací uživatele seskupuje podle klauzulí. | GroupByUserSession[] |
| matchConditions | Seznam podmínek shody | MatchCondition[] (povinné) |
| name | Název prostředku, který je v rámci zásady jedinečný. Tento název se dá použít pro přístup k prostředku. | řetězec Omezení: Maximální délka = 128 |
| Prioritou | Priorita pravidla. Pravidla s nižší hodnotou budou vyhodnocena před pravidly s vyšší hodnotou. | int (povinné) |
| rateLimitDuration | Doba trvání, po kterou se použijí zásady omezení četnosti. Použije se pouze v případě, že ruleType je RateLimitRule. | "FiveMins" "OneMin" |
| rateLimitThreshold | Prahová hodnota limitu přenosové rychlosti, která se použije v případě, že typ pravidla je RateLimitRule. Musí být větší než nebo rovno 1. | int |
| typ pravidla | Typ pravidla. | "Neplatné" "MatchRule" "RateLimitRule" (povinné) |
| state | Popisuje, jestli je vlastní pravidlo v povoleném nebo zakázaném stavu. Výchozí hodnota je Povoleno, pokud není zadána. | "Zakázáno" "Povoleno" |
GroupByUserSession
| Název | Description | Hodnota |
|---|---|---|
| groupByVariables | Seznam proměnných klauzule seskupování podle. | GroupByVariable[] (povinné) |
GroupByVariable
| Název | Description | Hodnota |
|---|---|---|
| název_proměnné | Proměnná klauzule relace uživatele. | "ClientAddr" "GeoLocation" "Žádné" (povinné) |
MatchCondition
| Název | Description | Hodnota |
|---|---|---|
| matchValues | Hodnota shody. | string[] (povinné) |
| matchVariables | Seznam proměnných shody | MatchVariable[] (povinné) |
| negationConditon | Jestli se jedná o negovat podmínku nebo ne. | bool |
| operátor | Operátor, který se má shodovat. | "Any" "StartsWith" "Obsahuje" "EndsWith" "Rovná se" "GeoMatch" "GreaterThan" "GreaterThanOrEqual" "IPMatch" "LessThan" "LessThanOrEqual" "Regulární výraz" (povinné) |
| Transformace | Seznam transformací | Pole řetězců obsahující některou z těchto možností: "HtmlEntityDecode" "Malá písmena" "RemoveNulls" "Střih" "Velká písmena" "UrlDecode" "UrlEncode" |
MatchVariable
| Název | Description | Hodnota |
|---|---|---|
| selector | Selektor proměnné shody. | řetězec |
| název_proměnné | Shoda s proměnnou. | "PostArgs" "Řetězec dotazu" "RemoteAddr" "RequestBody" "RequestCookies" "RequestHeaders" "Metoda požadavku" Identifikátor RequestUri (povinné) |
Definice managedRulesDefinition
| Název | Description | Hodnota |
|---|---|---|
| Vyloučení | Vyloučení, která se vztahují na zásadu. | OwaspCrsExclusionEntry[] |
| managedRuleSets | Spravované sady pravidel, které jsou přidružené k zásadě. | ManagedRuleSet[] (povinné) |
OwaspCrsExclusionEntry
| Název | Description | Hodnota |
|---|---|---|
| exclusionManagedRuleSets | Spravované sady pravidel, které jsou přidružené k vyloučení. | ExclusionManagedRuleSet[] |
| matchVariable | Proměnná, která má být vyloučena. | "Klíč_žádosti" "RequestArgNames" "RequestArgValues" "RequestCookieKeys" "RequestCookieNames" "RequestCookieValues" "RequestHeaderKeys" "RequestHeaderNames" "RequestHeaderValues" (povinné) |
| selector | Pokud matchVariable je kolekce, operátor slouží k určení prvků v kolekci, na které se toto vyloučení vztahuje. | string (povinné) |
| selectorMatchOperator | Pokud je matchVariable kolekce, pomocí selektoru určete, na které prvky v kolekci se toto vyloučení vztahuje. | "Obsahuje" "EndsWith" "Rovná se" "Rovná se" "StartsWith" (povinné) |
ExclusionManagedRuleSet
| Název | Description | Hodnota |
|---|---|---|
| ruleGroups | Definuje skupiny pravidel, které se použijí na sadu pravidel. | ExclusionManagedRuleGroup[] |
| typ ruleSetType | Definuje typ sady pravidel, který se má použít. | string (povinné) |
| ruleSetVersion | Definuje verzi sady pravidel, která se má použít. | string (povinné) |
ExclusionManagedRuleGroup
| Název | Description | Hodnota |
|---|---|---|
| ruleGroupName | Skupina spravovaných pravidel pro vyloučení. | string (povinné) |
| pravidla | Seznam pravidel, která budou vyloučena. Pokud není zadán žádný parametr, budou všechna pravidla ve skupině vyloučena. | ExclusionManagedRule[] |
ExclusionManagedRule
| Název | Description | Hodnota |
|---|---|---|
| id pravidla | Identifikátor spravovaného pravidla. | string (povinné) |
ManagedRuleSet
| Název | Description | Hodnota |
|---|---|---|
| ruleGroupOverrides | Definuje přepsání skupiny pravidel, která se mají použít na sadu pravidel. | ManagedRuleGroupOverride[] |
| typ ruleSetType | Definuje typ sady pravidel, který se má použít. | string (povinné) |
| ruleSetVersion | Definuje verzi sady pravidel, která se má použít. | string (povinné) |
ManagedRuleGroupOverride
| Název | Description | Hodnota |
|---|---|---|
| ruleGroupName | Skupina spravovaných pravidel, která se má přepsat. | string (povinné) |
| pravidla | Seznam pravidel, která budou zakázána. Pokud není zadán žádný parametr, budou všechna pravidla ve skupině zakázaná. | ManagedRuleOverride[] |
ManagedRuleOverride
| Název | Description | Hodnota |
|---|---|---|
| action | Popisuje akci přepsání, která se má použít při shodách pravidla. | "Povolit" "AnomálieScoring" "Blokovat" "Protokol" |
| id pravidla | Identifikátor spravovaného pravidla. | string (povinné) |
| state | Stav spravovaného pravidla. Výchozí hodnota je Zakázáno, pokud není zadána. | "Zakázáno" "Povoleno" |
Nastavení zásad
| Název | Description | Hodnota |
|---|---|---|
| customBlockResponseBody | Pokud je typ akce blok, zákazník může přepsat text odpovědi. Tělo musí být zadáno v kódování base64. | řetězec Omezení: Maximální délka = 32768 Vzor = ^(?:[A-Za-z0-9+/]{4})*(?:[A-Za-z0-9+/]{2}==|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{4})$ |
| customBlockResponseStatusCode | Pokud je typ akce blok, může zákazník přepsat stavový kód odpovědi. | int Omezení: Minimální hodnota = 0 |
| fileUploadEnforcement | Jestli povolí WAF vynucovat limity nahrávání souborů. | bool |
| souborUploadLimitInMb | Maximální velikost nahrání souboru v MB pro WAF. | int Omezení: Minimální hodnota = 0 |
| logScrubbing | Čištění citlivých polí protokolu | PolicySettingsLogScrubbing |
| maxRequestBodySizeInKb | Maximální velikost textu požadavku v kB pro WAF. | int Omezení: Minimální hodnota = 8 |
| režim | Režim zásad. | "Detekce" "Prevence" |
| requestBodyCheck | Určuje, jestli má WAF povolit kontrolu textu požadavku. | bool |
| requestBodyEnforcement | Jestli povolí WAF vynucovat limity textu požadavku. | bool |
| requestBodyInspectLimitInKB | Maximální limit kontroly v KB pro kontrolu subjektu žádosti o WAF. | int |
| state | Stav zásady. | "Zakázáno" "Povoleno" |
PolicySettingsLogScrubbing
| Název | Description | Hodnota |
|---|---|---|
| scrubbingRules | Pravidla, která se použijí na protokoly pro scrubbing. | WebApplicationFirewallScrubbingRules[] |
| state | Stav konfigurace scrubbingu protokolu Výchozí hodnota je Povoleno. | "Zakázáno" "Povoleno" |
WebApplicationFirewallScrubbingRules
| Název | Description | Hodnota |
|---|---|---|
| matchVariable | Proměnná, která se má v protokolech vymýt. | "RequestArgNames" "RequestCookieNames" "RequestHeaderNames" "RequestIPAddress" "RequestJSONArgNames" "RequestPostArgNames" (povinné) |
| selector | Pokud je matchVariable kolekce, slouží operátor k určení prvků v kolekci, na které se toto pravidlo vztahuje. | řetězec |
| selectorMatchOperator | Pokud je matchVariable kolekce, pomocí selektoru určete, na které prvky v kolekci se toto pravidlo vztahuje. | "Rovná se" "EqualsAny" (povinné) |
| state | Definuje stav pravidla scrubbingu protokolu. Výchozí hodnota je Povoleno. | "Zakázáno" "Povoleno" |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro