Leer en inglés

Compartir a través de

Microsoft.Network ApplicationGatewayWebApplicationFirewallPolicies 2021-02-01

  • Artículo
Elección de un idioma de implementación

Definición de recursos de Bicep

El tipo de recurso ApplicationGatewayWebApplicationFirewallPolicies se puede implementar con operaciones destinadas a:

Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.

Formato de recurso

Para crear un recurso Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies, agregue el siguiente bicep a la plantilla.

Bicep 
resource symbolicname 'Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies@2021-02-01' = {
  location: 'string'
  name: 'string'
  properties: {
    customRules: [
      {
        action: 'string'
        matchConditions: [
          {
            matchValues: [
              'string'
            ]
            matchVariables: [
              {
                selector: 'string'
                variableName: 'string'
              }
            ]
            negationConditon: bool
            operator: 'string'
            transforms: [
              'string'
            ]
          }
        ]
        name: 'string'
        priority: int
        ruleType: 'string'
      }
    ]
    managedRules: {
      exclusions: [
        {
          matchVariable: 'string'
          selector: 'string'
          selectorMatchOperator: 'string'
        }
      ]
      managedRuleSets: [
        {
          ruleGroupOverrides: [
            {
              ruleGroupName: 'string'
              rules: [
                {
                  ruleId: 'string'
                  state: 'string'
                }
              ]
            }
          ]
          ruleSetType: 'string'
          ruleSetVersion: 'string'
        }
      ]
    }
    policySettings: {
      fileUploadLimitInMb: int
      maxRequestBodySizeInKb: int
      mode: 'string'
      requestBodyCheck: bool
      state: 'string'
    }
  }
  tags: {
    {customized property}: 'string'
  }
}

Valores de propiedad

ManagedRuleGroupOverride

Nombre Descripción Valor
ruleGroupName Grupo de reglas administradas que se va a invalidar. string (obligatorio)
reglas Lista de reglas que se deshabilitarán. Si no se especifica ninguna, se deshabilitarán todas las reglas del grupo. ManagedRuleOverride []

ManagedRuleOverride

Nombre Descripción Valor
ruleId Identificador de la regla administrada. string (obligatorio)
estado Estado de la regla administrada. El valor predeterminado es Deshabilitado si no se especifica. 'Deshabilitado'

ManagedRulesDefinition

Nombre Descripción Valor
Exclusiones Exclusiones que se aplican a la directiva. OwaspCrsExclusionEntry[]
managedRuleSets Conjuntos de reglas administradas asociados a la directiva. ManagedRuleSet[] (obligatorio)

ManagedRuleSet

Nombre Descripción Valor
ruleGroupOverrides Define las invalidaciones del grupo de reglas que se aplicarán al conjunto de reglas. ManagedRuleGroupOverride []
ruleSetType Define el tipo de conjunto de reglas que se va a usar. string (obligatorio)
ruleSetVersion Define la versión del conjunto de reglas que se va a usar. string (obligatorio)

MatchCondition

Nombre Descripción Valor
matchValues Valor de coincidencia. string[] (obligatorio)
matchVariables Lista de variables de coincidencia. MatchVariable [] (obligatorio)
negationConditon Si se trata de una condición negada o no. Bool
operador Operador que se va a buscar coincidencia. 'BeginsWith'
'Contains'
'EndsWith'
'Igual'
'GeoMatch'
'GreaterThan'
'GreaterThanOrEqual'
'IPMatch'
'LessThan'
'LessThanOrEqual'
'Regex' (obligatorio)
Transforma Lista de transformaciones. Matriz de cadenas que contiene cualquiera de:
'HtmlEntityDecode'
'Minúsculas'
'RemoveNulls'
'Trim'
'UrlDecode'
'UrlEncode'

MatchVariable

Nombre Descripción Valor
selector Selector de variable de coincidencia. cuerda
variableName Coincidencia de variable. 'PostArgs'
'QueryString'
'RemoteAddr'
'RequestBody'
'RequestCookies'
'RequestHeaders'
'RequestMethod'
'RequestUri' (obligatorio)

Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies

Nombre Descripción Valor
ubicación Ubicación del recurso. cuerda
nombre El nombre del recurso cuerda

Restricciones:
Longitud máxima = 128 (obligatorio)
Propiedades Propiedades de la directiva de firewall de aplicaciones web. WebApplicationFirewallPolicyPropertiesFormat
Etiquetas Etiquetas de recursos Diccionario de nombres y valores de etiqueta. Consulte etiquetas de en plantillas

OwaspCrsExclusionEntry

Nombre Descripción Valor
matchVariable Variable que se va a excluir. 'RequestArgNames'
'RequestCookieNames'
'RequestHeaderNames' (obligatorio)
selector Cuando matchVariable es una colección, el operador se usa para especificar a qué elementos de la colección se aplica esta exclusión. string (obligatorio)
selectorMatchOperator Cuando matchVariable es una colección, opera en el selector para especificar a qué elementos de la colección se aplica esta exclusión. 'Contains'
'EndsWith'
'Equals'
'EqualsAny'
'StartsWith' (obligatorio)

PolicySettings

Nombre Descripción Valor
fileUploadLimitInMb Tamaño máximo de carga de archivos en Mb para WAF. Int

Restricciones:
Valor mínimo = 0
maxRequestBodySizeInKb Tamaño máximo del cuerpo de la solicitud en Kb para WAF. Int

Restricciones:
Valor mínimo = 8
modo Modo de la directiva. "Detección"
"Prevención"
requestBodyCheck Indica si se permite que WAF compruebe el cuerpo de la solicitud. Bool
estado Estado de la directiva. 'Deshabilitado'
'Habilitado'

ResourceTags

Nombre Descripción Valor

WebApplicationFirewallCustomRule

Nombre Descripción Valor
acción Tipo de acciones. 'Permitir'
'Bloquear'
'Log' (obligatorio)
matchConditions Lista de condiciones de coincidencia. MatchCondition [] (obligatorio)
nombre Nombre del recurso que es único dentro de una directiva. Este nombre se puede usar para acceder al recurso. cuerda

Restricciones:
Longitud máxima = 128
prioridad Prioridad de la regla. Las reglas con un valor inferior se evaluarán antes de que las reglas con un valor mayor. int (obligatorio)
ruleType Tipo de regla. 'No válido'
'MatchRule' (obligatorio)

WebApplicationFirewallPolicyPropertiesFormat

Nombre Descripción Valor
customRules Reglas personalizadas dentro de la directiva. webApplicationFirewallCustomRule[]
managedRules Describe la estructura managedRules. managedRulesDefinition (obligatorio)
policySettings PolicySettings para policy. PolicySettings

Ejemplos de uso

Módulos comprobados de Azure

Los siguientes módulos comprobados de Azure se pueden usar para implementar este tipo de recurso.

Módulo Descripción
directiva de firewall de aplicaciones web (WAF) de Application Gateway Módulo de recursos de AVM para la directiva de firewall de aplicaciones web (WAF) de Application Gateway

Ejemplos de inicio rápido de Azure

Los siguientes plantillas de inicio rápido de Azure contienen ejemplos de Bicep para implementar este tipo de recurso.

Archivo de Bicep Descripción
clúster de AKS con una puerta de enlace NAT y un de Application Gateway En este ejemplo se muestra cómo implementar un clúster de AKS con NAT Gateway para las conexiones salientes y una instancia de Application Gateway para las conexiones entrantes.
clúster de AKS con el controlador de entrada de Application Gateway En este ejemplo se muestra cómo implementar un clúster de AKS con Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics y Key Vault
Application Gateway para la de enrutamiento basado en rutas de dirección URL Esta plantilla crea una instancia de Application Gateway y la configura para el enrutamiento basado en rutas de acceso url.
Application Gateway con waf y la directiva de firewall Esta plantilla crea una instancia de Application Gateway con WAF configurado junto con una directiva de firewall.
Creación de una instancia de Azure WAF v2 en Azure Application Gateway Esta plantilla crea un firewall de aplicaciones web de Azure v2 en Azure Application Gateway con dos servidores de Windows Server 2016 en el grupo de back-end
Front Door Estándar/Premium con el origen de Application Gateway Esta plantilla crea una instancia de Front Door Standard/Premium y una instancia de Application Gateway y usa una directiva de NSG y WAF para validar que el tráfico ha llegado a través del origen de Front Door.
Front Door con instancias de contenedor y Application Gateway Esta plantilla crea una instancia de Front Door Standard/Premium con un grupo de contenedores y Application Gateway.

Definición de recursos de plantilla de ARM

El tipo de recurso ApplicationGatewayWebApplicationFirewallPolicies se puede implementar con operaciones destinadas a:

Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.

Formato de recurso

Para crear un recurso Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies, agregue el siguiente JSON a la plantilla.

JSON 
{
  "type": "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies",
  "apiVersion": "2021-02-01",
  "name": "string",
  "location": "string",
  "properties": {
    "customRules": [
      {
        "action": "string",
        "matchConditions": [
          {
            "matchValues": [ "string" ],
            "matchVariables": [
              {
                "selector": "string",
                "variableName": "string"
              }
            ],
            "negationConditon": "bool",
            "operator": "string",
            "transforms": [ "string" ]
          }
        ],
        "name": "string",
        "priority": "int",
        "ruleType": "string"
      }
    ],
    "managedRules": {
      "exclusions": [
        {
          "matchVariable": "string",
          "selector": "string",
          "selectorMatchOperator": "string"
        }
      ],
      "managedRuleSets": [
        {
          "ruleGroupOverrides": [
            {
              "ruleGroupName": "string",
              "rules": [
                {
                  "ruleId": "string",
                  "state": "string"
                }
              ]
            }
          ],
          "ruleSetType": "string",
          "ruleSetVersion": "string"
        }
      ]
    },
    "policySettings": {
      "fileUploadLimitInMb": "int",
      "maxRequestBodySizeInKb": "int",
      "mode": "string",
      "requestBodyCheck": "bool",
      "state": "string"
    }
  },
  "tags": {
    "{customized property}": "string"
  }
}

Valores de propiedad

ManagedRuleGroupOverride

Nombre Descripción Valor
ruleGroupName Grupo de reglas administradas que se va a invalidar. string (obligatorio)
reglas Lista de reglas que se deshabilitarán. Si no se especifica ninguna, se deshabilitarán todas las reglas del grupo. ManagedRuleOverride []

ManagedRuleOverride

Nombre Descripción Valor
ruleId Identificador de la regla administrada. string (obligatorio)
estado Estado de la regla administrada. El valor predeterminado es Deshabilitado si no se especifica. 'Deshabilitado'

ManagedRulesDefinition

Nombre Descripción Valor
Exclusiones Exclusiones que se aplican a la directiva. OwaspCrsExclusionEntry[]
managedRuleSets Conjuntos de reglas administradas asociados a la directiva. ManagedRuleSet[] (obligatorio)

ManagedRuleSet

Nombre Descripción Valor
ruleGroupOverrides Define las invalidaciones del grupo de reglas que se aplicarán al conjunto de reglas. ManagedRuleGroupOverride []
ruleSetType Define el tipo de conjunto de reglas que se va a usar. string (obligatorio)
ruleSetVersion Define la versión del conjunto de reglas que se va a usar. string (obligatorio)

MatchCondition

Nombre Descripción Valor
matchValues Valor de coincidencia. string[] (obligatorio)
matchVariables Lista de variables de coincidencia. MatchVariable [] (obligatorio)
negationConditon Si se trata de una condición negada o no. Bool
operador Operador que se va a buscar coincidencia. 'BeginsWith'
'Contains'
'EndsWith'
'Igual'
'GeoMatch'
'GreaterThan'
'GreaterThanOrEqual'
'IPMatch'
'LessThan'
'LessThanOrEqual'
'Regex' (obligatorio)
Transforma Lista de transformaciones. Matriz de cadenas que contiene cualquiera de:
'HtmlEntityDecode'
'Minúsculas'
'RemoveNulls'
'Trim'
'UrlDecode'
'UrlEncode'

MatchVariable

Nombre Descripción Valor
selector Selector de variable de coincidencia. cuerda
variableName Coincidencia de variable. 'PostArgs'
'QueryString'
'RemoteAddr'
'RequestBody'
'RequestCookies'
'RequestHeaders'
'RequestMethod'
'RequestUri' (obligatorio)

Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies

Nombre Descripción Valor
apiVersion La versión de api '2021-02-01'
ubicación Ubicación del recurso. cuerda
nombre El nombre del recurso cuerda

Restricciones:
Longitud máxima = 128 (obligatorio)
Propiedades Propiedades de la directiva de firewall de aplicaciones web. WebApplicationFirewallPolicyPropertiesFormat
Etiquetas Etiquetas de recursos Diccionario de nombres y valores de etiqueta. Consulte etiquetas de en plantillas
tipo El tipo de recurso 'Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies'

OwaspCrsExclusionEntry

Nombre Descripción Valor
matchVariable Variable que se va a excluir. 'RequestArgNames'
'RequestCookieNames'
'RequestHeaderNames' (obligatorio)
selector Cuando matchVariable es una colección, el operador se usa para especificar a qué elementos de la colección se aplica esta exclusión. string (obligatorio)
selectorMatchOperator Cuando matchVariable es una colección, opera en el selector para especificar a qué elementos de la colección se aplica esta exclusión. 'Contains'
'EndsWith'
'Equals'
'EqualsAny'
'StartsWith' (obligatorio)

PolicySettings

Nombre Descripción Valor
fileUploadLimitInMb Tamaño máximo de carga de archivos en Mb para WAF. Int

Restricciones:
Valor mínimo = 0
maxRequestBodySizeInKb Tamaño máximo del cuerpo de la solicitud en Kb para WAF. Int

Restricciones:
Valor mínimo = 8
modo Modo de la directiva. "Detección"
"Prevención"
requestBodyCheck Indica si se permite que WAF compruebe el cuerpo de la solicitud. Bool
estado Estado de la directiva. 'Deshabilitado'
'Habilitado'

ResourceTags

Nombre Descripción Valor

WebApplicationFirewallCustomRule

Nombre Descripción Valor
acción Tipo de acciones. 'Permitir'
'Bloquear'
'Log' (obligatorio)
matchConditions Lista de condiciones de coincidencia. MatchCondition [] (obligatorio)
nombre Nombre del recurso que es único dentro de una directiva. Este nombre se puede usar para acceder al recurso. cuerda

Restricciones:
Longitud máxima = 128
prioridad Prioridad de la regla. Las reglas con un valor inferior se evaluarán antes de que las reglas con un valor mayor. int (obligatorio)
ruleType Tipo de regla. 'No válido'
'MatchRule' (obligatorio)

WebApplicationFirewallPolicyPropertiesFormat

Nombre Descripción Valor
customRules Reglas personalizadas dentro de la directiva. webApplicationFirewallCustomRule[]
managedRules Describe la estructura managedRules. managedRulesDefinition (obligatorio)
policySettings PolicySettings para policy. PolicySettings

Ejemplos de uso

Plantillas de inicio rápido de Azure

Los siguientes plantillas de inicio rápido de Azure implementar este tipo de recurso.

Plantilla Descripción
clúster de AKS con una puerta de enlace NAT y un de Application Gateway

Implementación en Azure 		En este ejemplo se muestra cómo implementar un clúster de AKS con NAT Gateway para las conexiones salientes y una instancia de Application Gateway para las conexiones entrantes.
clúster de AKS con el controlador de entrada de Application Gateway

Implementación en Azure 		En este ejemplo se muestra cómo implementar un clúster de AKS con Application Gateway, Application Gateway Ingress Controller, Azure Container Registry, Log Analytics y Key Vault
Application Gateway para la de enrutamiento basado en rutas de dirección URL

Implementación en Azure 		Esta plantilla crea una instancia de Application Gateway y la configura para el enrutamiento basado en rutas de acceso url.
Application Gateway con waf y la directiva de firewall

Implementación en Azure 		Esta plantilla crea una instancia de Application Gateway con WAF configurado junto con una directiva de firewall.
Creación de una instancia de Azure WAF v2 en Azure Application Gateway

Implementación en Azure 		Esta plantilla crea un firewall de aplicaciones web de Azure v2 en Azure Application Gateway con dos servidores de Windows Server 2016 en el grupo de back-end
Front Door Estándar/Premium con el origen de Application Gateway

Implementación en Azure 		Esta plantilla crea una instancia de Front Door Standard/Premium y una instancia de Application Gateway y usa una directiva de NSG y WAF para validar que el tráfico ha llegado a través del origen de Front Door.
Front Door con instancias de contenedor y Application Gateway

Implementación en Azure 		Esta plantilla crea una instancia de Front Door Standard/Premium con un grupo de contenedores y Application Gateway.

Definición de recursos de Terraform (proveedor AzAPI)

El tipo de recurso ApplicationGatewayWebApplicationFirewallPolicies se puede implementar con operaciones destinadas a:

  • grupos de recursos de

Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.

Formato de recurso

Para crear un recurso Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies, agregue el siguiente terraform a la plantilla.

Terraform 
resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies@2021-02-01"
  name = "string"
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = jsonencode({
    properties = {
      customRules = [
        {
          action = "string"
          matchConditions = [
            {
              matchValues = [
                "string"
              ]
              matchVariables = [
                {
                  selector = "string"
                  variableName = "string"
                }
              ]
              negationConditon = bool
              operator = "string"
              transforms = [
                "string"
              ]
            }
          ]
          name = "string"
          priority = int
          ruleType = "string"
        }
      ]
      managedRules = {
        exclusions = [
          {
            matchVariable = "string"
            selector = "string"
            selectorMatchOperator = "string"
          }
        ]
        managedRuleSets = [
          {
            ruleGroupOverrides = [
              {
                ruleGroupName = "string"
                rules = [
                  {
                    ruleId = "string"
                    state = "string"
                  }
                ]
              }
            ]
            ruleSetType = "string"
            ruleSetVersion = "string"
          }
        ]
      }
      policySettings = {
        fileUploadLimitInMb = int
        maxRequestBodySizeInKb = int
        mode = "string"
        requestBodyCheck = bool
        state = "string"
      }
    }
  })
}

Valores de propiedad

ManagedRuleGroupOverride

Nombre Descripción Valor
ruleGroupName Grupo de reglas administradas que se va a invalidar. string (obligatorio)
reglas Lista de reglas que se deshabilitarán. Si no se especifica ninguna, se deshabilitarán todas las reglas del grupo. ManagedRuleOverride []

ManagedRuleOverride

Nombre Descripción Valor
ruleId Identificador de la regla administrada. string (obligatorio)
estado Estado de la regla administrada. El valor predeterminado es Deshabilitado si no se especifica. 'Deshabilitado'

ManagedRulesDefinition

Nombre Descripción Valor
Exclusiones Exclusiones que se aplican a la directiva. OwaspCrsExclusionEntry[]
managedRuleSets Conjuntos de reglas administradas asociados a la directiva. ManagedRuleSet[] (obligatorio)

ManagedRuleSet

Nombre Descripción Valor
ruleGroupOverrides Define las invalidaciones del grupo de reglas que se aplicarán al conjunto de reglas. ManagedRuleGroupOverride []
ruleSetType Define el tipo de conjunto de reglas que se va a usar. string (obligatorio)
ruleSetVersion Define la versión del conjunto de reglas que se va a usar. string (obligatorio)

MatchCondition

Nombre Descripción Valor
matchValues Valor de coincidencia. string[] (obligatorio)
matchVariables Lista de variables de coincidencia. MatchVariable [] (obligatorio)
negationConditon Si se trata de una condición negada o no. Bool
operador Operador que se va a buscar coincidencia. 'BeginsWith'
'Contains'
'EndsWith'
'Igual'
'GeoMatch'
'GreaterThan'
'GreaterThanOrEqual'
'IPMatch'
'LessThan'
'LessThanOrEqual'
'Regex' (obligatorio)
Transforma Lista de transformaciones. Matriz de cadenas que contiene cualquiera de:
'HtmlEntityDecode'
'Minúsculas'
'RemoveNulls'
'Trim'
'UrlDecode'
'UrlEncode'

MatchVariable

Nombre Descripción Valor
selector Selector de variable de coincidencia. cuerda
variableName Coincidencia de variable. 'PostArgs'
'QueryString'
'RemoteAddr'
'RequestBody'
'RequestCookies'
'RequestHeaders'
'RequestMethod'
'RequestUri' (obligatorio)

Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies

Nombre Descripción Valor
ubicación Ubicación del recurso. cuerda
nombre El nombre del recurso cuerda

Restricciones:
Longitud máxima = 128 (obligatorio)
Propiedades Propiedades de la directiva de firewall de aplicaciones web. WebApplicationFirewallPolicyPropertiesFormat
Etiquetas Etiquetas de recursos Diccionario de nombres y valores de etiqueta.
tipo El tipo de recurso "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies@2021-02-01"

OwaspCrsExclusionEntry

Nombre Descripción Valor
matchVariable Variable que se va a excluir. 'RequestArgNames'
'RequestCookieNames'
'RequestHeaderNames' (obligatorio)
selector Cuando matchVariable es una colección, el operador se usa para especificar a qué elementos de la colección se aplica esta exclusión. string (obligatorio)
selectorMatchOperator Cuando matchVariable es una colección, opera en el selector para especificar a qué elementos de la colección se aplica esta exclusión. 'Contains'
'EndsWith'
'Equals'
'EqualsAny'
'StartsWith' (obligatorio)

PolicySettings

Nombre Descripción Valor
fileUploadLimitInMb Tamaño máximo de carga de archivos en Mb para WAF. Int

Restricciones:
Valor mínimo = 0
maxRequestBodySizeInKb Tamaño máximo del cuerpo de la solicitud en Kb para WAF. Int

Restricciones:
Valor mínimo = 8
modo Modo de la directiva. "Detección"
"Prevención"
requestBodyCheck Indica si se permite que WAF compruebe el cuerpo de la solicitud. Bool
estado Estado de la directiva. 'Deshabilitado'
'Habilitado'

ResourceTags

Nombre Descripción Valor

WebApplicationFirewallCustomRule

Nombre Descripción Valor
acción Tipo de acciones. 'Permitir'
'Bloquear'
'Log' (obligatorio)
matchConditions Lista de condiciones de coincidencia. MatchCondition [] (obligatorio)
nombre Nombre del recurso que es único dentro de una directiva. Este nombre se puede usar para acceder al recurso. cuerda

Restricciones:
Longitud máxima = 128
prioridad Prioridad de la regla. Las reglas con un valor inferior se evaluarán antes de que las reglas con un valor mayor. int (obligatorio)
ruleType Tipo de regla. 'No válido'
'MatchRule' (obligatorio)

WebApplicationFirewallPolicyPropertiesFormat

Nombre Descripción Valor
customRules Reglas personalizadas dentro de la directiva. webApplicationFirewallCustomRule[]
managedRules Describe la estructura managedRules. managedRulesDefinition (obligatorio)
policySettings PolicySettings para policy. PolicySettings

Ejemplos de uso

Módulos comprobados de Azure

Los siguientes módulos comprobados de Azure se pueden usar para implementar este tipo de recurso.

Módulo Descripción
directiva de firewall de aplicaciones web (WAF) de Application Gateway Módulo de recursos de AVM para la directiva de firewall de aplicaciones web (WAF) de Application Gateway