Share via

Ustawienia zasad dla Web Application Firewall w usłudze Azure Front Door

  • Artykuł

Zasady zapory aplikacji internetowej (WAF) umożliwiają kontrolowanie dostępu do aplikacji internetowych za pomocą zestawu reguł niestandardowych i zarządzanych. Nazwa zasad zapory aplikacji internetowej musi być unikatowa. Jeśli spróbujesz użyć istniejącej nazwy, zostanie wyświetlony błąd weryfikacji. Wiele ustawień na poziomie zasad ma zastosowanie do wszystkich reguł określonych dla tych zasad zgodnie z opisem w tym artykule.

Stan zapory aplikacji internetowej

Zasady zapory aplikacji internetowej dla usługi Azure Front Door mają jeden z następujących dwóch stanów:

  • Włączone: Po włączeniu zasad zapora aplikacji internetowej aktywnie sprawdza przychodzące żądania i wykonuje odpowiednie akcje zgodnie z definicjami reguł.
  • Wyłączone: Po wyłączeniu zasad inspekcja zapory aplikacji internetowej jest wstrzymana. Żądania przychodzące pomijają zaporę aplikacji internetowej i są wysyłane do zaplecza na podstawie routingu usługi Azure Front Door.

Tryb zapory aplikacji internetowej

Zasady zapory aplikacji internetowej można skonfigurować do uruchamiania w następujących dwóch trybach:

  • Tryb wykrywania: po uruchomieniu w trybie wykrywania zapora aplikacji internetowej nie podejmuje żadnych działań innych niż monitorowanie i rejestrowanie żądania oraz dopasowanej reguły zapory aplikacji internetowej do dzienników zapory aplikacji internetowej. Włącz diagnostykę rejestrowania dla usługi Azure Front Door podczas korzystania z Azure Portal. (Przejdź do sekcji Diagnostyka w Azure Portal).
  • Tryb zapobiegania: gdy zapora aplikacji internetowej jest skonfigurowana do uruchamiania w trybie zapobiegania, zapora aplikacji internetowej wykonuje określoną akcję, jeśli żądanie jest zgodne z regułą. Wszystkie dopasowane żądania są również rejestrowane w dziennikach zapory aplikacji internetowej.

Odpowiedź zapory aplikacji internetowej dla zablokowanych żądań

Domyślnie, gdy zapora aplikacji internetowej blokuje żądanie ze względu na dopasowaną regułę, zwraca kod stanu 403 z komunikatem "Żądanie jest zablokowane". Ciąg odwołania jest również zwracany do rejestrowania.

Możesz zdefiniować niestandardowy kod stanu odpowiedzi i komunikat odpowiedzi, gdy zapora aplikacji internetowej blokuje żądanie. Obsługiwane są następujące niestandardowe kody stanu:

  • 200 OK
  • 403 Zabronione
  • Niedozwolona metoda 405
  • 406 Nie do przyjęcia
  • 429 Zbyt wiele żądań

Niestandardowy kod stanu odpowiedzi z komunikatem odpowiedzi jest ustawieniem na poziomie zasad. Po skonfigurowaniu wszystkie zablokowane żądania otrzymają ten sam niestandardowy stan odpowiedzi i komunikat odpowiedzi.

Identyfikator URI akcji przekierowania

Wymagane jest zdefiniowanie identyfikatora URI w celu przekierowania żądań do, jeśli REDIRECT akcja została wybrana dla dowolnej reguły zawartej w zasadach zapory aplikacji internetowej. Ten identyfikator URI przekierowania musi być prawidłową witryną HTTP(S). Po skonfigurowaniu wszystkie żądania zgodne reguły z akcją REDIRECT są przekierowywane do określonej witryny.

Następne kroki

Dowiedz się, jak definiować odpowiedzi niestandardowe zapory aplikacji internetowej.