Paramètres de stratégie pour le pare-feu d'application Web dans Azure Front Door

  • Article

Une stratégie de pare-feu d'application Web (WAF) vous permet de contrôler l'accès à vos applications Web par un ensemble de règles personnalisées et gérées. Le nom de la stratégie WAF doit être unique. Vous recevez une erreur de validation si vous essayez d'utiliser un nom existant. Plusieurs paramètres au niveau de la stratégie s'appliquent à toutes les règles spécifiées pour cette stratégie, comme décrit dans cet article.

État du pare-feu d’applications web

Une stratégie WAF pour Azure Front Door a l'un des deux états suivants :

  • Activé : lorsqu'une stratégie est activée, WAF inspecte activement les demandes entrantes et prend les mesures correspondantes en fonction des définitions de règles.
  • Désactivé : lorsqu'une stratégie est désactivée, l'inspection WAF est interrompue. Les demandes entrantes contournent WAF et sont envoyées aux back-ends en fonction du routage Azure Front Door.

Mode WAF

Vous pouvez configurer une stratégie WAF pour qu'elle s'exécute dans les deux modes suivants :

  • Mode de détection : lorsqu'il est exécuté en mode de détection, le WAF n'entreprend aucune autre action que de surveiller et de consigner la requête et sa règle WAF correspondante dans les journaux WAF. Activez les diagnostics de journalisation pour Azure Front Door lorsque vous utilisez le Portail Microsoft Azure. (Accédez à la section Diagnostics dans le Portail Microsoft Azure.)
  • Mode de prévention : lorsqu'un WAF est configuré pour s'exécuter en mode de prévention, le WAF prend l'action spécifiée si une requête correspond à une règle. Toutes les requêtes mises en correspondance sont également enregistrées dans les journaux WAF.

Réponse de WAF pour les demandes bloquées

Par défaut, lorsque le WAF bloque une requête en raison d'une règle correspondante, il renvoie un code d'état 403 avec le message « La requête est bloquée ». Une chaîne de référence est également renvoyée pour la journalisation.

Vous pouvez définir un code d'état de réponse personnalisé et un message de réponse lorsque le WAF bloque une demande. Les codes d’état personnalisés suivants sont pris en charge :

  • 200 OK
  • 403 Interdit
  • 405 Méthode non autorisée
  • 406 Non acceptable
  • 429 Trop de requêtes

Un code d'état de réponse personnalisé avec un message de réponse est un paramètre au niveau de la stratégie. Une fois configurées, toutes les demandes bloquées obtiennent le même état de réponse personnalisé et le même message de réponse.

URI pour une action de redirection

Vous devez définir un URI vers lequel rediriger les requêtes si l'action REDIRECT est sélectionnée pour l'une des règles contenues dans une stratégie WAF. Cet URI de redirection doit être un site HTTP(S) valide. Une fois configuré, toutes les requêtes correspondant aux règles avec une action REDIRECT sont redirigées vers le site spécifié.

Étapes suivantes

Découvrez comment définir des réponses personnalisées WAF.