Обзор политики Брандмауэра веб-приложений Azure (WAF)
Политики Брандмауэра веб-приложений содержат все параметры и конфигурации WAF. Сюда входят исключения, настраиваемые правила, управляемые правила и т. д. Затем эти политики необходимо связать со шлюзом приложений (глобальные), прослушивателем (для каждого сайта) или правилом на основе пути (для каждого URI), чтобы они вступили в силу.
Количество создаваемых политик не ограничено. Чтобы созданная политика вступила в силу, ее необходимо связать со шлюзом приложений. Ее можно связать с любым сочетанием шлюзов приложений, прослушивателей и правил на основе пути.
Примечание.
Шлюз приложений имеет две версии SKU WAF: WAF Шлюза приложений версии 1 и WAF Шлюза приложений версии 2. Связи политики WAF поддерживаются только для SKU WAF Шлюза приложений версии 2.
Глобальная политика WAF
При связывании глобальной политики WAF каждый сайт за WAF Шлюза приложений будет защищен с помощью одинаковых управляемых правил, настраиваемых правил, исключений и других параметров.
Если требуется применить одну политику ко всем сайтам, можно связать ее со шлюзом приложений. Дополнительные сведения см. в статье Создание политик Брандмауэра веб-приложений для Шлюза приложений, чтобы создать и применить политику WAF с помощью портала Azure.
Политика WAF для каждого сайта
С помощью политик WAF для разных сайтов можно защитить несколько сайтов с разными требованиями к безопасности, расположенных за одним WAF. Например, если у вас есть пять сайтов за WAF, у вас может быть пять отдельных политик WAF (по одной для каждого прослушивателя) для настройки исключений, настраиваемых правил, наборов управляемых правил и всех остальных параметров WAF для каждого сайта.
Допустим, к шлюзу приложений применена глобальная политика. Затем вы применяете к прослушивателю этого шлюза приложений другую политику. Политика прослушивателя будет применена только к этому прослушивателю. Глобальная политика шлюза приложений будет по-прежнему применяться ко всем другим прослушивателям и правилам на основе путей, которым не назначена определенная политика.
Политика для каждого URI
Чтобы провести более точную настройку на уровне URI, можно связать политику WAF с правилом на основе пути. Если на одном сайте есть определенные страницы, для которых требуются разные политики, можно внести изменения в политику WAF, которые повлияют только на заданный URI. Их можно применить к странице оплаты или входа, а также к другим URI, которым требуется более конкретная политика WAF, чем другим сайтам, находящимся за WAF.
Как и в случае с политиками WAF для каждого сайта, более конкретные политики переопределяют менее конкретные. Это означает, что политика для URI при сопоставлении URL-путей переопределяет политику для сайта или глобальную политику WAF, поскольку они имеют более высокий уровень.
Пример
Предположим, у вас есть три сайта: contoso.com, fabrikam.com и adatum.com, которые находятся за одним шлюзом приложений. Вы хотите применить WAF ко всем трем сайтам, но сайту adatum.com нужна дополнительная защита, так как на нем клиенты будут искать, просматривать и покупать товары.
К WAF можно применить глобальную политику с базовыми параметрами, исключениями или настраиваемыми правилами, если необходимо предотвратить ложные срабатывания и последующую блокировку трафика. В этом случае не нужно использовать глобальные правила, в которые внедрен код SQL, так как fabrikam.com и contoso.com являются статическими страницами без серверной части SQL. Поэтому эти правила в глобальной политике можно отключить.
Эта глобальная политика подходит для contoso.com и fabrikam.com, но необходимо более внимательно отнестись к adatum.com, на котором обрабатываются данные для входа и платежи. Вы можете применить политику для сайта к прослушивателю adatum и оставить действующие правила SQL. Также предположим, что есть файл cookie, блокирующий некоторый трафик, поэтому можно создать исключение для этого файла cookie, чтобы предотвратить ложноположительные результаты.
Необходимо проявить осторожность с URI adatum.com/payments. Поэтому примените к этому URI другую политику и оставьте все правила включенными, а также удалите все исключения.
В этом примере есть глобальная политика, которая применяется к двум сайтам. Для одного сайта действует своя политика, а также политика для URI, которая применяется к одному конкретному правилу, основанному на пути. См. статью Настройка политик WAF для отдельного сайта с помощью Azure PowerShell для соответствующего кода PowerShell в этом примере.
Существующие конфигурации WAF
Все новые параметры Брандмауэра веб-приложений (настраиваемые правила, конфигурации наборов управляемых правил, исключения и т. д.) содержатся в политике WAF. Если у вас уже есть WAF, эти параметры все же могут находиться в конфигурации WAF. Дополнительные сведения о переходе к новой политике WAF см. в статье Миграция конфигурации WAF в политику WAF.