Gambaran umum kebijakan Azure Web Application Firewall (WAF)
Kebijakan Web Application Firewall berisi semua pengaturan dan konfigurasi WAF. Ini mencakup pengecualian, aturan kustom, aturan terkelola, dan sebagainya. Kebijakan ini selanjutnya dikaitkan dengan gateway aplikasi (global), pendengar (per situs), atau aturan berbasis jalur (per URI) agar diterapkan.
Tidak ada batasan jumlah kebijakan yang dapat Anda buat. Saat Anda membuat kebijakan, kebijakan tersebut harus dikaitkan dengan gateway aplikasi agar diterapkan. Kebijakan ini dapat dikaitkan dengan kombinasi gateway aplikasi, pendengar, dan aturan berbasis jalur.
Catatan
Application Gateway memiliki dua versi sku WAF: Application Gateway WAF_v1 dan Application Gateway WAF_v2. Asosiasi kebijakan WAF hanya didukung untuk sku Application Gateway WAF_v2.
Kebijakan WAF global
Saat Anda mengaitkan kebijakan WAF secara global, setiap situs di belakang Application Gateway WAF Anda dilindungi dengan aturan terkelola yang sama, aturan kustom, pengecualian, dan pengaturan lain yang dikonfigurasi.
Jika Anda ingin satu kebijakan berlaku untuk semua situs, Anda dapat mengaitkan kebijakan dengan gateway aplikasi. Untuk informasi selengkapnya, lihat Membuat kebijakan Web Application Firewall untuk Application Gateway untuk membuat dan menerapkan kebijakan WAF menggunakan portal Microsoft Azure.
Kebijakan WAF per situs
Dengan kebijakan WAF per-site, Anda dapat melindungi beberapa situs dengan kebutuhan keamanan yang berbeda di balik satu WAF dengan menggunakan kebijakan per situs. Misalnya, jika ada lima situs di belakang WAF Anda, Anda dapat memiliki lima kebijakan WAF terpisah (satu untuk setiap pemroses) untuk menyesuaikan pengecualian, aturan kustom, kumpulan aturan terkelola, dan semua setelan WAF lainnya untuk setiap situs.
Katakanlah gateway aplikasi Anda memiliki kebijakan global yang diterapkan padanya. Kemudian Anda menerapkan kebijakan yang berbeda untuk pemroses di gateway aplikasi tersebut. Kebijakan pendengar sekarang hanya berlaku untuk pemroses tersebut. Kebijakan global gateway aplikasi masih berlaku untuk semua pemroses dan aturan berbasis jalur lainnya yang tidak memiliki kebijakan khusus yang ditetapkan untuk mereka.
Kebijakan per URI
Untuk kustomisasi yang jauh lebih besar ke tingkat URI, Anda dapat mengaitkan kebijakan WAF dengan aturan berbasis jalur. Jika ada halaman tertentu dalam satu situs yang memerlukan kebijakan yang berbeda, Anda dapat membuat perubahan pada kebijakan WAF yang hanya memengaruhi URI tertentu. Ini mungkin berlaku untuk halaman pembayaran atau masuk, atau URI lain yang memerlukan kebijakan WAF yang jauh lebih spesifik daripada situs lain di belakang WAF Anda.
Seperti kebijakan WAF per situs, kebijakan yang lebih spesifik mengambil alih kebijakan yang kurang spesifik. Ini berarti kebijakan per URI pada peta jalur URL mengambil alih kebijakan WAF per situs atau global di atasnya.
Contoh
Misalnya Anda memiliki tiga situs: contoso.com, fabrikam.com, dan adatum.com, semuanya di belakang gateway aplikasi yang sama. Anda ingin WAF diterapkan ke ketiga situs, tetapi Anda perlu menambahkan keamanan pada adatum.com karena situs tersebut merupakan tempat pelanggan mengunjungi, menelusuri, dan membeli produk.
Anda dapat menerapkan kebijakan global ke WAF, dengan beberapa pengaturan dasar, pengecualian, atau aturan kustom jika perlu untuk menghentikan beberapa positif palsu dari memblokir lalu lintas. Dalam hal ini, tidak perlu menjalankan aturan injeksi SQL global karena fabrikam.com dan contoso.com adalah halaman statis tanpa ujung belakang SQL. Jadi, Anda dapat menonaktifkan aturan tersebut dalam kebijakan global.
Kebijakan global ini cocok untuk contoso.com dan fabrikam.com, tetapi Anda harus lebih berhati-hati dengan adatum.com tempat informasi masuk dan pembayaran ditangani. Anda dapat menerapkan kebijakan per situs kepada pendengar adatum dan membiarkan aturan SQL berjalan. Asumsikan juga ada cookie yang memblokir beberapa lalu lintas, sehingga Anda dapat membuat pengecualian untuk cookie tersebut agar menghentikan positif palsu.
URI adatum.com/payments adalah tempat yang harus lebih Anda perhatikan. Jadi, terapkan kebijakan lain pada URI tersebut dan biarkan semua aturan diaktifkan, serta hapus juga semua pengecualian.
Dalam contoh ini, Anda memiliki kebijakan global yang berlaku untuk dua situs. Anda memiliki kebijakan per situs yang berlaku untuk satu situs, lalu kebijakan per URI yang berlaku untuk satu aturan berbasis jalur tertentu. Lihat Mengonfigurasi kebijakan WAF per situs menggunakan Azure PowerShell untuk PowerShell terkait pada contoh ini.
Konfigurasi WAF yang ada
Semua pengaturan WAF Web Application Firewall baru (aturan kustom, konfigurasi seperangkat aturan terkelola, pengecualian, dan sebagainya.) ada dalam kebijakan WAF. Jika Anda memiliki WAF yang ada, pengaturan ini mungkin masih ada di konfigurasi WAF Anda. Untuk informasi selengkapnya tentang beralih ke kebijakan WAF baru, Memigrasikan WAF Config ke Kebijakan WAF.