Az Azure Web Application Firewall (WAF) szabályzatának áttekintése
Web Application Firewall házirendek tartalmazzák az összes WAF-beállítást és konfigurációt. Ide tartoznak a kizárások, az egyéni szabályok, a felügyelt szabályok stb. Ezek a szabályzatok ezután egy Application Gatewayhez (globális), egy figyelőhöz (helyenkénti) vagy elérésiút-alapú szabályhoz (URI-nként) lesznek társítva, hogy érvénybe lépjenek.
A létrehozható szabályzatok száma nincs korlátozva. Amikor létrehoz egy szabályzatot, annak érvénybe léptetéséhez társítva kell lennie egy Application Gatewayhez. Az alkalmazásátjárók, a figyelők és az elérésiút-alapú szabályok bármilyen kombinációjához társítható.
Megjegyzés
Application Gateway a WAF-termékváltozat két verziójával rendelkezik: Application Gateway WAF_v1 és Application Gateway WAF_v2. A WAF-szabályzattársítások csak a Application Gateway WAF_v2 termékváltozat esetében támogatottak.
Globális WAF-szabályzat
Ha globálisan társít egy WAF-szabályzatot, a Application Gateway WAF mögötti összes hely ugyanazokkal a felügyelt szabályokkal, egyéni szabályokkal, kizárásokkal és egyéb konfigurált beállításokkal lesz védve.
Ha azt szeretné, hogy egyetlen szabályzat vonatkozzanak az összes webhelyre, társíthatja a szabályzatot az Application Gatewayhez. További információ: Web Application Firewall-szabályzatok létrehozása Application Gateway WAF-szabályzatok létrehozásához és alkalmazásához a Azure Portal használatával.
Webhelyenkénti WAF-szabályzat
A webhelyenként eltérő WAF-szabályzatokkal több, különböző biztonsági igényekkel rendelkező webhelyet is védelem alá helyezhet egyetlen WAF mögött. Ha például öt webhely található a WAF mögött, akkor megadhat öt különálló WAF-szabályzatot (figyelőnként egyet), így testre szabhatja a kizárásokat, az egyéni szabályokat, a felügyelt szabálykészleteket és az egyes webhelyek összes többi WAF-beállítását.
Tegyük fel, hogy az Application Gateway esetében érvényben van egy globális szabályzat. Az Application Gateway egyik figyelőjén ezt követően egy másik szabályzatot alkalmaz. Az adott figyelő szabályzata csak azon az egy figyelőn érvényes. Az Application Gateway globális szabályzata továbbra is érvényes az összes többi olyan figyelőre és elérésiút-alapú szabályra, amelyeknek nincs külön hozzárendelt szabályzatuk.
URI-alapú szabályzat
Ha még több testreszabást szeretne az URI szintjén, társíthat WAF-szabályzatokat egy elérésiút-alapú szabvánnyal. Ha egy webhelyen belül vannak olyan lapok, amelyekhez eltérő szabályzatok szükségesek, módosíthatja a WAF-szabályzatot, amely csak egy adott URI-t érint. Ez vonatkozhat egy fizetési vagy bejelentkezési oldalra, vagy bármely más OLYAN URI-ra, amely még pontosabb WAF-szabályzatot igényel, mint a WAF mögötti többi webhely.
A webhelyenkénti WAF-házirendekhez hasonlóan a pontosabb szabályzatok is felülbírálják a kevésbé specifikusakat. Ez azt jelenti, hogy egy URL-útvonaltérkép URI-alapú szabályzata felülbírálja a felette lévő helyekre vagy globális WAF-szabályzatokra vonatkozó szabályzatokat.
Példa
Tegyük fel, hogy három webhelye van: contoso.com, fabrikam.com és adatum.com ugyanazon alkalmazásátjáró mögött. A WAF-ot mindhárom webhelyre alkalmazni szeretné, de a adatum.com fokozott biztonságra van szüksége, mert az ügyfelek erre a helyre látogatnak, böngésznek és vásárolnak termékeket.
Globális szabályzatot alkalmazhat a WAF-ra néhány alapvető beállítással, kivétellel vagy egyéni szabvánnyal, ha szükséges, hogy bizonyos téves riasztások ne blokkolják a forgalmat. Ebben az esetben nincs szükség globális SQL-injektálási szabályok futtatására, mert fabrikam.com és contoso.com statikus lapok, amelyekhez nincs SQL-háttérrendszer. Így letilthatja ezeket a szabályokat a globális szabályzatban.
Ez a globális szabályzat alkalmas contoso.com és fabrikam.com, de óvatosabbnak kell lennie adatum.com, ahol a bejelentkezési adatok és a kifizetések kezelése történik. Alkalmazhat helyenkénti szabályzatot az adatum-figyelőre, és hagyhatja futni az SQL-szabályokat. Azt is tegyük fel, hogy egy cookie blokkolja a forgalmat, így létrehozhat egy kizárást a cookie-hoz, hogy megakadályozza a téves pozitív eredményt.
A adatum.com/payments URI-ja az, ahol óvatosnak kell lennie. Ezért alkalmazzon egy másik szabályzatot az URI-ra, hagyja engedélyezve az összes szabályt, és távolítsa el az összes kizárást.
Ebben a példában egy olyan globális szabályzattal rendelkezik, amely két webhelyre vonatkozik. Van egy helyenkénti szabályzata, amely egy helyre, majd egy URI-alapú szabályzatra vonatkozik, amely egy adott elérésiút-alapú szabályra vonatkozik. Ebben a példában lásd: Helyenkénti WAF-szabályzatok konfigurálása Azure PowerShell használatával a megfelelő PowerShell-lel.
Meglévő WAF-konfigurációk
Az új Web Application Firewall WAF-beállításai (egyéni szabályok, felügyelt szabálykészlet konfigurációi, kizárások stb.) egy WAF-szabályzatban találhatók. Ha rendelkezik meglévő WAF-okkal, ezek a beállítások továbbra is létezhetnek a WAF-konfigurációban. További információ az új WAF-szabályzatra való áttérésről: WAF-konfiguráció migrálása WAF-szabályzatba.