Az Azure Web Application Firewall (WAF) szabályzatának áttekintése
A webalkalmazási tűzfalszabályzatok tartalmazzák az összes WAF-beállítást és konfigurációt. Ide tartoznak a kizárások, az egyéni szabályok, a felügyelt szabályok stb. Ezek a szabályzatok ezután egy application gatewayhez (globális), egy figyelőhöz (helyenkénti) vagy egy elérési útalapú szabályhoz (URI-nként) lesznek társítva, hogy érvénybe léphessenek.
A létrehozható szabályzatok száma nincs korlátozva. Szabályzat létrehozásakor az alkalmazásátjáróhoz kell társítani a hatálybalépéshez. Az alkalmazásátjárók, a figyelők és az elérésiút-alapú szabályok bármilyen kombinációjához társítható.
Feljegyzés
Az Application Gateway a WAF-termékváltozat két verziójával rendelkezik: az Application Gateway WAF_v1 és az Application Gateway WAF_v2. A WAF-házirend-társítások csak az Application Gateway WAF_v2 termékváltozatához támogatottak.
Globális WAF-szabályzat
Ha globálisan társít egy WAF-szabályzatot, az Application Gateway WAF mögötti összes webhelyet ugyanazokkal a felügyelt szabályokkal, egyéni szabályokkal, kizárásokkal és egyéb konfigurált beállításokkal védi.
Ha azt szeretné, hogy egyetlen szabályzat vonatkozzanak az összes webhelyre, társíthatja a szabályzatot az Application Gatewayrel. További információ: Webalkalmazási tűzfalszabályzatok létrehozása az Application Gatewayhez WAF-szabályzatok azure portalon történő létrehozásához és alkalmazásához.
Webhelyenkénti WAF-szabályzat
A webhelyenként eltérő WAF-szabályzatokkal több, különböző biztonsági igényekkel rendelkező webhelyet is védelem alá helyezhet egyetlen WAF mögött. Ha például öt webhely található a WAF mögött, akkor megadhat öt különálló WAF-szabályzatot (figyelőnként egyet), így testre szabhatja a kizárásokat, az egyéni szabályokat, a felügyelt szabálykészleteket és az egyes webhelyek összes többi WAF-beállítását.
Tegyük fel, hogy az Application Gateway esetében érvényben van egy globális szabályzat. Az Application Gateway egyik figyelőjén ezt követően egy másik szabályzatot alkalmaz. Az adott figyelő szabályzata csak azon az egy figyelőn érvényes. Az Application Gateway globális szabályzata továbbra is érvényes az összes többi olyan figyelőre és elérésiút-alapú szabályra, amelyeknek nincs külön hozzárendelt szabályzatuk.
URI-alapú szabályzat
Ha még több testreszabást szeretne az URI szintjén, a WAF-szabályzatokat társíthatja egy útvonalalapú szabvánnyal. Ha egy webhelyen belül vannak olyan lapok, amelyek eltérő szabályzatokat igényelnek, módosíthatja a WAF-házirendet, amelyek csak egy adott URI-t érintenek. Ez vonatkozhat egy fizetési vagy bejelentkezési oldalra, vagy bármely más OLYAN URI-ra, amelynek még konkrétabb WAF-szabályzatra van szüksége, mint a WAF mögötti többi webhelyre.
A webhelyenkénti WAF-házirendekhez hasonlóan a konkrétabb szabályzatok is felülbírálják a kevésbé specifikusakat. Ez azt jelenti, hogy egy URL-útvonaltérkép URI-nkénti szabályzata felülbírálja a felette lévő helyekre vagy globális WAF-szabályzatokra vonatkozó szabályzatokat.
Példa
Tegyük fel, hogy három webhelye van: contoso.com, fabrikam.com és adatum.com ugyanazon alkalmazásátjáró mögött. Mind a három webhelyre alkalmazni szeretne egy WAF-ot, de a adatum.com további biztonságra van szüksége, mert az ügyfelek ezen a helyen keresnek fel, böngésznek és vásárolnak termékeket.
Globális szabályzatot alkalmazhat a WAF-ra néhány alapvető beállítással, kizárással vagy egyéni szabvánnyal, ha szükséges, hogy megakadályozza a forgalom blokkolását bizonyos hamis pozitívumokkal. Ebben az esetben nincs szükség globális SQL-injektálási szabályok futtatására, mert fabrikam.com és contoso.com sql-háttérrendszer nélküli statikus lapok. Így letilthatja ezeket a szabályokat a globális szabályzatban.
Ez a globális szabályzat alkalmas contoso.com és fabrikam.com, de körültekintőbbnek kell lennie adatum.com, ahol a bejelentkezési információk és a kifizetések kezelése történik. Webhelyenkénti szabályzatot alkalmazhat az adatumfigyelőre, és hagyhatja futni az SQL-szabályokat. Tegyük fel, hogy van egy cookie, amely blokkolja a forgalmat, így kizárást hozhat létre a cookie-hoz, hogy megállítsa a hamis pozitív értéket.
Az adatum.com/payments URI az, ahol óvatosnak kell lennie. Ezért alkalmazzon egy másik szabályzatot az URI-n, és hagyja engedélyezve az összes szabályt, és távolítsa el az összes kizárást is.
Ebben a példában egy olyan globális szabályzattal rendelkezik, amely két webhelyre vonatkozik. Van egy helyenkénti szabályzata, amely egy helyre vonatkozik, majd egy URI-alapú szabályzat, amely egy adott elérésiút-alapú szabályra vonatkozik. Ebben a példában a megfelelő PowerShellhez tekintse meg a webhelyenkénti WAF-szabályzatok konfigurálását az Azure PowerShell használatával .
Meglévő WAF-konfigurációk
Az új webalkalmazási tűzfal WAF-beállításai (egyéni szabályok, felügyelt szabálykészlet-konfigurációk, kizárások stb.) egy WAF-szabályzatban találhatók. Ha rendelkezik meglévő WAF-nel, ezek a beállítások továbbra is létezhetnek a WAF-konfigurációban. Az új WAF-szabályzatra való áttéréssel kapcsolatos további információkért a WAF Config áttelepítése WAF-szabályzatba.