Web アプリケーション ファイアウォール用の Azure Front Door でのポリシー設定

Web アプリケーション ファイアウォール (WAF) ポリシーを使用すると、一連のカスタム規則とマネージド規則によって、Web アプリケーションへのアクセスを制御できます。 WAF ポリシーの名前は一意である必要があります。 既存の名前を使おうとすると、検証エラーが発生します。 この記事で説明するように、複数のポリシー レベルの設定が、そのポリシーに対して指定されているすべての規則に適用されます。

WAF の状態

Azure Front Door 用の WAF ポリシーは、次の 2 つの状態のいずれかになります。

  • 有効: ポリシーが有効になっていると、WAF は受信した要求をアクティブに検査し、規則の定義に従って対応するアクションを実行します。
  • 無効: ポリシーが無効になっていると、WAF の検査は一時停止されます。 受信した要求は、WAF をバイパスし、Azure Front Door のルーティングに基づいてバックエンドに送信されます。

WAF のモード

WAF ポリシーは、次の 2 つのモードで実行するように構成できます。

  • 検出モード 検出モードで実行されている WAF では、監視以外のアクションは実施されず、要求とそれに一致した WAF 規則が WAF ログに記録されます。 Azure portal を使用しているときは、Azure Front Door のログ記録診断を有効にします。 (Azure portal の [診断] セクションに移動します。)
  • 防止モード 防止モードで実行するように WAF が構成されている場合、要求が規則に一致すると、指定されたアクションが WAF によって実行されます。 一致した要求は、WAF ログにも記録されます。

ブロックされた要求に対する WAF の応答

既定では、規則が一致して WAF が要求をブロックすると、"要求がブロックされています" というメッセージと共に 403 状態コードが返されます。ログ記録のために、参照文字列も返されます。

要求が WAF でブロックされた場合のカスタム応答の状態コードと応答メッセージを定義することができます。 次のカスタム状態コードがサポートされています。

  • 200 OK
  • 403 許可されていません
  • 405 メソッドは許可されていません
  • 406 受信不可
  • 429 要求が多すぎます

応答メッセージを含むカスタム応答状態コードは、ポリシー レベルの設定です。 構成後は、ブロックされたすべての要求が、同じカスタム応答状態と応答メッセージを受け取ります。

リダイレクト アクションの URI

WAF ポリシーに含まれるいずれかの規則に対してREDIRECT アクションが選択されている場合は、要求のリダイレクト先となる URI を定義する必要があります。 このリダイレクト URI は、有効な HTTP(S) サイトにする必要があります。 構成後、REDIRECT アクションが指定された規則に一致する要求はすべて、指定されたサイトにリダイレクトされます。

次のステップ

WAF のカスタム応答を定義する方法を確認します。