Dela via


Översikt över Azure Web Application Firewall-principer (WAF)

Brandväggsprinciper för webbprogram innehåller alla WAF-inställningar och konfigurationer. Detta omfattar undantag, anpassade regler, hanterade regler och så vidare. Dessa principer associeras sedan med en programgateway (global), en lyssnare (per plats) eller en sökvägsbaserad regel (per URI) för att de ska börja gälla.

Det finns ingen gräns för hur många principer du kan skapa. När du skapar en princip måste den vara associerad med en programgateway för att börja gälla. Den kan associeras med valfri kombination av programgatewayer, lyssnare och sökvägsbaserade regler.

Kommentar

Application Gateway har två versioner av WAF sku: Application Gateway WAF_v1 och Application Gateway WAF_v2. WAF-principassociationer stöds endast för Application Gateway WAF_v2 sku.

Global WAF-princip

När du associerar en WAF-princip globalt skyddas varje plats bakom din Application Gateway WAF med samma hanterade regler, anpassade regler, undantag och andra konfigurerade inställningar.

Om du vill att en enskild princip ska gälla för alla webbplatser kan du associera principen med programgatewayen. Mer information finns i Skapa brandväggsprinciper för webbprogram för Application Gateway för att skapa och tillämpa en WAF-princip med hjälp av Azure-portalen.

WAF-princip per webbplats

Med WAF-principer per webbplats kan du skydda flera webbplatser med olika säkerhetsbehov bakom en enda WAF med hjälp av principer för varje webbplats. Om det till exempel finns fem webbplatser bakom din WAF, kan du ha fem separata WAF-principer (en för varje lyssnare) för att anpassa undantag, anpassade regler, hanterade regeluppsättningar och alla andra WAF-inställningar för varje webbplats.

Anta att en global princip används för din programgateway. Sedan tillämpar du en annan princip på en lyssnare på programgatewayen. Lyssnarens princip gäller nu för den lyssnaren. Programgatewayens globala princip gäller fortfarande för alla andra lyssnare och sökvägsbaserade regler som inte har tilldelats någon specifik princip.

Per URI-princip

Om du vill ha ännu mer anpassning ned till URI-nivån kan du associera en WAF-princip med en sökvägsbaserad regel. Om det finns vissa sidor på en enda webbplats som kräver olika principer kan du göra ändringar i WAF-principen som endast påverkar en viss URI. Detta kan gälla för en betalnings- eller inloggningssida, eller andra URI:er som behöver en ännu mer specifik WAF-princip än de andra webbplatserna bakom din WAF.

Precis som med WAF-principer per plats åsidosätter mer specifika principer mindre specifika. Det innebär att en per URI-princip på en URL-sökvägskarta åsidosätter valfri waf-princip per plats eller global waf-princip ovanför den.

Exempel

Anta att du har tre webbplatser: contoso.com, fabrikam.com och adatum.com bakom samma programgateway. Du vill att en WAF ska tillämpas på alla tre webbplatserna, men du behöver ytterligare säkerhet med adatum.com eftersom det är där kunderna besöker, bläddrar och köper produkter.

Du kan tillämpa en global princip på WAF, med vissa grundläggande inställningar, undantag eller anpassade regler om det behövs för att hindra vissa falska positiva identifieringar från att blockera trafik. I det här fallet behöver du inte ha globala SQL-inmatningsregler igång eftersom fabrikam.com och contoso.com är statiska sidor utan SQL-serverdel. Så du kan inaktivera dessa regler i den globala principen.

Den här globala policyn är lämplig för contoso.com och fabrikam.com, men du måste vara mer försiktig med adatum.com där inloggningsinformation och betalningar hanteras. Du kan tillämpa en princip per plats på adatum-lyssnaren och låta SQL-reglerna köras. Anta också att det finns en cookie som blockerar viss trafik, så att du kan skapa ett undantag för cookien för att stoppa den falska positiva identifieringen.

Den adatum.com/payments URI:n är där du måste vara försiktig. Tillämpa därför en annan princip på den URI:n och låt alla regler vara aktiverade och ta även bort alla undantag.

I det här exemplet har du en global princip som gäller för två webbplatser. Du har en princip per plats som gäller för en webbplats och sedan en per URI-princip som gäller för en specifik sökvägsbaserad regel. Se Konfigurera WAF-principer per plats med Azure PowerShell för motsvarande PowerShell för det här exemplet.

Befintliga WAF-konfigurationer

Alla waf-inställningar för den nya brandväggen för webbaserade program (anpassade regler, konfigurationer av hanterade regeluppsättningar, undantag osv.) finns i en WAF-princip. Om du har en befintlig WAF kan de här inställningarna fortfarande finnas i WAF-konfigurationen. Mer information om hur du flyttar till den nya WAF-principen finns i Migrera WAF-konfiguration till en WAF-princip.

Nästa steg