Tworzenie zasad Web Application Firewall dla Application Gateway

Skojarzenie zasad zapory aplikacji internetowej z odbiornikami umożliwia ochronę wielu lokacji za pojedynczą zaporą aplikacji internetowej za pomocą różnych zasad. Jeśli na przykład istnieje pięć witryn za zaporą aplikacji internetowej, możesz mieć pięć oddzielnych zasad zapory aplikacji internetowej (po jednym dla każdego odbiornika), aby dostosować wykluczenia, reguły niestandardowe i zarządzane zestawy reguł dla jednej witryny bez wpływu na pozostałe cztery. Jeśli chcesz, aby pojedyncze zasady miały być stosowane do wszystkich witryn, możesz po prostu skojarzyć zasady z Application Gateway, a nie z poszczególnymi odbiornikami, aby zastosować je globalnie. Zasady można również stosować do reguły routingu opartej na ścieżkach.

Możesz ustawić dowolną liczbę zasad. Po utworzeniu zasad należy skojarzyć je z Application Gateway, aby wejść w życie, ale można je skojarzyć z dowolną kombinacją usługi Application Gateway i odbiorników.

Jeśli Application Gateway ma skojarzone zasady, a następnie skojarzysz inne zasady z odbiornikiem na tym Application Gateway, zasady odbiornika zostaną zastosowane, ale tylko dla odbiorników, do których zostały przypisane. Zasady Application Gateway nadal mają zastosowanie do wszystkich innych odbiorników, które nie mają przypisanych do nich określonych zasad.

Uwaga

Po skojarzeniu zasad zapory z zaporą aplikacji internetowej zawsze muszą istnieć zasady skojarzone z tą zaporą aplikacji internetowej. Możesz zastąpić te zasady, ale całkowite usunięcie skojarzenia zasad z zapory aplikacji internetowej nie jest obsługiwane.

Wszystkie nowe ustawienia zapory aplikacji internetowej Web Application Firewall (reguły niestandardowe, konfiguracje zarządzanego zestawu reguł, wykluczenia itp.) działają wewnątrz zasad zapory aplikacji internetowej. Jeśli masz istniejącą zaporę aplikacji internetowej, te ustawienia mogą nadal istnieć w konfiguracji zapory aplikacji internetowej. Aby uzyskać instrukcje dotyczące przechodzenia do nowych zasad zapory aplikacji internetowej, zobacz Migrowanie konfiguracji zapory aplikacji internetowej do zasad zapory aplikacji internetowej w dalszej części tego artykułu.

Tworzenie zasad

Najpierw utwórz podstawowe zasady zapory aplikacji internetowej z zarządzanym domyślnym zestawem reguł (DRS) przy użyciu Azure Portal.

  1. W lewym górnym rogu portalu wybierz pozycję Utwórz zasób. Wyszukaj pozycję Zapora aplikacji internetowej, wybierz pozycję Web Application Firewall, a następnie wybierz pozycję Utwórz.

  2. Na stronie Tworzenie zasad zapory aplikacji internetowej na karcie Podstawy wprowadź lub wybierz następujące informacje i zaakceptuj wartości domyślne pozostałych ustawień:

    Ustawienie Wartość
    Zasady dla Regionalna zapora aplikacji internetowej (Application Gateway)
    Subskrypcja Wybierz nazwę subskrypcji
    Grupa zasobów Wybierz grupę zasobów
    Nazwa zasady Wpisz unikatową nazwę zasad zapory aplikacji internetowej.
  3. Na karcie Skojarzenie wybierz pozycję Dodaj skojarzenie, a następnie wybierz jedno z następujących ustawień:

    Ustawienie Wartość
    Application Gateway Wybierz bramę aplikacji, a następnie wybierz pozycję Dodaj.
    Odbiornik HTTP Wybierz bramę aplikacji, wybierz odbiorniki, a następnie wybierz pozycję Dodaj.
    Ścieżka trasy Wybierz bramę aplikacji, wybierz odbiornik, wybierz regułę routingu, a następnie wybierz pozycję Dodaj.

    Uwaga

    Jeśli przypiszesz zasady do Application Gateway (lub odbiornika), które już mają zasady, oryginalne zasady zostaną zastąpione i zastąpione przez nowe zasady.

  4. Wybierz pozycję Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.

    WAF policy basics

Konfigurowanie reguł zapory aplikacji internetowej (opcjonalnie)

Podczas tworzenia zasad zapory aplikacji internetowej domyślnie jest ona w trybie wykrywania . W trybie wykrywania zapora aplikacji internetowej nie blokuje żadnych żądań. Zamiast tego zgodne reguły zapory aplikacji internetowej są rejestrowane w dziennikach zapory aplikacji internetowej. Aby zobaczyć zaporę aplikacji internetowej w działaniu, możesz zmienić ustawienia trybu na Zapobieganie. W trybie zapobiegania reguły dopasowywania zdefiniowane w wybranym zestawie reguł CRS są blokowane i/lub rejestrowane w dziennikach zapory aplikacji internetowej.

Reguły zarządzane

Reguły OWASP zarządzane przez platformę Azure są domyślnie włączone. Aby wyłączyć pojedynczą regułę w grupie reguł, rozwiń reguły w tej grupie reguł, zaznacz pole wyboru przed numerem reguły, a następnie wybierz pozycję Wyłącz na karcie powyżej.

Managed rules

Reguły niestandardowe

Aby utworzyć regułę niestandardową, wybierz pozycję Dodaj regułę niestandardową na karcie Reguły niestandardowe . Spowoduje to otwarcie strony konfiguracji reguły niestandardowej. Poniższy zrzut ekranu przedstawia przykładową regułę niestandardową skonfigurowaną do blokowania żądania, jeśli ciąg zapytania zawiera blok tekstu.

Edit custom rule

Migrowanie konfiguracji zapory aplikacji internetowej do zasad zapory aplikacji internetowej

Jeśli masz istniejącą zaporę aplikacji internetowej, być może zauważysz pewne zmiany w portalu. Najpierw musisz określić, jakiego rodzaju zasady zostały włączone w zaporze aplikacji internetowej. Istnieją trzy potencjalne stany:

  1. Brak zasad zapory aplikacji internetowej
  2. Zasady tylko reguł niestandardowych
  3. Zasady zapory aplikacji internetowej

Możesz określić, w jakim stanie znajduje się zapora aplikacji internetowej, przeglądając go w portalu. Jeśli ustawienia zapory aplikacji internetowej są widoczne i można je zmienić z poziomu widoku Application Gateway, zapora aplikacji internetowej jest w stanie 1.

WAF configuration

Jeśli wybierzesz Web Application Firewall i zostanie wyświetlona skojarzona zasada, zapora aplikacji internetowej ma stan 2 lub stan 3. Po przejściu do zasad, jeśli są wyświetlane tylko reguły niestandardowe i skojarzone bramy aplikacji, to są to zasady tylko reguły niestandardowe.

WAF custom rules

Jeśli zostanie również wyświetlona opcja Zasady Ustawienia i Reguły zarządzane, będzie to pełna Web Application Firewall zasad.

WAF policy settings

Migrowanie do zasad zapory aplikacji internetowej

Jeśli masz tylko zasady zapory aplikacji internetowej dla reguł niestandardowych, możesz przejść do nowych zasad zapory aplikacji internetowej. W przyszłości zasady zapory będą obsługiwać ustawienia zasad zapory aplikacji internetowej, zarządzane zestawy reguł, wykluczenia i wyłączone grupy reguł. Zasadniczo wszystkie konfiguracje zapory aplikacji internetowej, które zostały wcześniej wykonane wewnątrz Application Gateway, są teraz wykonywane za pośrednictwem zasad zapory aplikacji internetowej.

Edycje reguły niestandardowej są wyłączone tylko dla zasad zapory aplikacji internetowej. Aby edytować wszystkie ustawienia zapory aplikacji internetowej, takie jak wyłączanie reguł, dodawanie wykluczeń itp., należy przeprowadzić migrację do nowego zasobu zasad zapory najwyższego poziomu.

W tym celu utwórz zasady Web Application Firewall i skojarz je z wybranymi Application Gateway i odbiornikami. Te nowe zasady muszą być dokładnie takie same jak bieżąca konfiguracja zapory aplikacji internetowej, co oznacza, że każda reguła niestandardowa, wykluczenie, wyłączona reguła itp. musi zostać skopiowana do nowych tworzonych zasad. Po utworzeniu zasad skojarzonych z Application Gateway możesz nadal wprowadzać zmiany w regułach i ustawieniach zapory aplikacji internetowej. Można to również zrobić za pomocą Azure PowerShell. Aby uzyskać więcej informacji, zobacz Kojarzenie zasad zapory aplikacji internetowej z istniejącym Application Gateway.

Opcjonalnie możesz użyć skryptu migracji do migracji do zasad zapory aplikacji internetowej. Aby uzyskać więcej informacji, zobacz Migrowanie zasad Web Application Firewall przy użyciu Azure PowerShell.

Tryb wymuszenia

Jeśli nie chcesz kopiować wszystkiego do zasad, które są dokładnie takie same jak bieżąca konfiguracja, możesz ustawić zaporę aplikacji internetowej w tryb "force". Uruchom następujący kod Azure PowerShell, a zapora aplikacji internetowej będzie w trybie wymuszania. Następnie można skojarzyć dowolne zasady zapory aplikacji internetowej z zaporą aplikacji internetowej, nawet jeśli nie ma dokładnie tych samych ustawień co konfiguracja.

$appgw = Get-AzApplicationGateway -Name <your Application Gateway name> -ResourceGroupName <your Resource Group name>
$appgw.ForceFirewallPolicyAssociation = $true

Następnie przejdź do kroków, aby skojarzyć zasady zapory aplikacji internetowej z bramą aplikacji. Aby uzyskać więcej informacji, zobacz Kojarzenie zasad zapory aplikacji internetowej z istniejącymi Application Gateway.

Następne kroki

Dowiedz się więcej na temat Web Application Firewall grup reguł CRS i reguł.