共用方式為

為應用程式閘道建立 Web 應用程式防火牆原則

  • 發行項

將 WAF 原則與接聽程式建立關聯,可讓單一 WAF 後方的多個網站受到不同原則的保護。 例如,如果您的 WAF 後方有五個網站,您就可以有五個不同的 WAF 原則 (每個接聽程式各一個),用來為每個網站自訂排除清單、自訂規則、受控規則集,而不會影響到其他四個原則。 如果您想要將單一原則套用至所有網站,您可以僅將原則與應用程式閘道產生關聯 (而不是個別接聽程式),使其可全域套用。 原則也可以套用至路徑式路由規則。

您可以視需要建立不限數量的原則。 原則建立後必須與應用程式閘道相關聯,才能生效,但可以與應用程式閘道和接聽程式的任何組合相關聯。

若您的應用程式閘道已有相關聯的原則,然後您將不同的原則與該應用程式閘道上的接聽程式建立關聯,則接聽程式的原則會生效,但只針對被指派原則的接聽程式。 應用程式閘道原則仍會套用至未獲派特定原則的所有其他接聽程式。

注意

防火牆原則與 WAF 相關聯後,就一律必須有與該 WAF 相關聯的原則。 您可以覆寫該原則,但不支援完全解除原則與 WAF 的關聯。

所有新的 Web 應用程式防火牆 WAF 設定 (自訂規則、受控規則集設定、排除項目等) 皆存在於 WAF 原則內。 若您有現有的 WAF,這些設定可能仍存在於 WAF 設定中。如需如何移動到新 WAF 原則的步驟,請參閱本文稍後的「將 WAF 設定升級至 WAF 原則」 (部分機器翻譯)。

WAF 原則必須處於啟用狀態,才能檢查要求流量、記錄事件,以及對要求採取動作。 偵測模式中的 WAF 原則會在觸發 WAF 規則時記錄事件,但不會採取任何其他動作。 在預防模式中的原則會對要求採取動作,並在記錄中記錄事件。

建立原則

首先,使用 Azure 入口網站來建立具有受控預設規則集 (DRS) 的基本 WAF 原則。

  1. 在入口網站的左上方,選取 [建立資源]。 搜尋 WAF,選取 [Web 應用程式防火牆],然後選取 [建立]

  2. 在 [建立 WAF 原則] 頁面的 [基本] 索引標籤上,輸入或選取下列資訊,並接受其餘設定的預設值:

    設定
    原則適用對象 區域 WAF (應用程式閘道)
    訂用帳戶 選取您的訂用帳戶名稱
    資源群組 選取您的資源群組
    原則名稱 輸入您 WAF 原則的唯一名稱。

  3. 在 [關聯] 索引標籤上選取 [新增關聯],然後選取下列其中一個設定:

    設定
    應用程式閘道 選取應用程式閘道,然後選取 [新增]
    HTTP 接聽程式 選取應用程式閘道,選取接聽程式,然後選取 [新增]
    路由路徑 選取應用程式閘道、選取接聽程式、選取路由規則,然後選取 [新增]

    注意

    如果您將原則指派給已設有原則的應用程式閘道 (或接聽程式),則會覆寫原始原則,並取代為新原則。

  4. 選取 [檢閱 + 建立],然後選取 [建立]

    WAF 原則基本概念

設定 WAF 規則 (選擇性)

當您建立 WAF 原則時,原則依預設會處於 [偵測] 模式中。 在 [偵測] 模式下,WAF 不會封鎖任何要求。 相符的 WAF 規則會記錄在 WAF 記錄中。 若要查看 WAF 的實際效果,您可以將模式設定變更為 [預防]。 在 [預防] 模式下,您選取的由 Microsoft 管理之規則集中定義的比對規則,會被封鎖和/或記錄於 WAF 記錄中。

受控規則

依預設會啟用 Azure 管理的 OWASP 規則。 若要停用規則群組內的個別規則,請展開該規則群組中的規則、選取規則編號前面的核取方塊,然後選取上方索引標籤上的 [停用]

受控規則

自訂規則

若要建立自訂規則,請選取 [自訂規則] 索引標籤下的 [新增自訂規則]。此時會開啟 [自訂規則設定] 頁面。 下列螢幕擷取畫面顯示一個範例自訂規則,此規則設定為在查詢字串包含 blockme 文字時即封鎖要求。

編輯自訂規則

將 WAF 設定升級至 WAF 原則

如果您有現有的 WAF,您可能會發現入口網站中的一些變更。 首先,您必須識別您在 WAF 上啟用的原則類型。 有三種潛在狀態:

  1. 無 WAF 原則
  2. 僅限自訂規則原則
  3. WAF 原則

您可以在入口網站中查看 WAF,以判斷您的 WAF 處於哪個狀態。 如果可以看到 WAF 設定,並且可從 [應用程式閘道] 檢視內加以變更,表示您的 WAF 處於狀態 1。

WAF 設定

如果您選取了 [Web 應用程式防火牆],而它顯示了相關聯的原則,則表示 WAF 處於狀態 2 或狀態 3。 瀏覽至原則後,如果其中顯示自訂規則和相關聯的應用程式閘道,則為「僅限自訂規則原則」狀態。

WAF 自訂規則

如果也顯示了原則設定和受控規則,則是完整的 Web 應用程式防火牆原則。

WAF 原則設定

升級至 WAF 原則

如果您具有「僅限自訂規則的 WAF 原則」,您可能想要移至新的 WAF 原則。 接下來,防火牆原則會支援 WAF 原則設定、受控規則集、排除項目和停用的規則群組。 基本上,先前在應用程式閘道內完成的所有 WAF 設定,現在都會透過 WAF 原則來完成。

「僅限自訂規則的 WAF 原則」的編輯功能停用。 若要編輯任何 WAF 設定 (例如停用規則、新增排除項目等),您必須升級至新的最上層防火牆原則資源。

若要這樣做,請建立 Web 應用程式防火牆原則,並將其關聯至您應用程式閘道和選擇的接聽程式。 這個新原則必須與目前的 WAF 設定完全相同,這表示每個自訂規則、排除項目、停用規則等等都必須複製到您要建立的新原則中。 一旦您有與應用程式閘道相關聯的原則,您就可以繼續變更 WAF 規則和設定。 您也可以使用 Azure PowerShell 來執行這項工作。 如需詳細資訊,請參閱建立 WAF 原則與現有應用程式閘道的關聯

您可以選擇性地使用移轉指令碼來升級至 WAF 原則。 如需詳細資訊,請參閱使用 Azure PowerShell 升級 Web 應用程式防火牆原則

強制模式

如果您不想將一切複製到與目前設定完全相同的原則中,您可以將 WAF 設定為「強制」模式。 執行下列 Azure PowerShell 程式碼,讓您的 WAF 處於強制模式。 然後,您可以將任何 WAF 原則與 WAF 產生關聯,即使其設定並未與您的設定完全相同亦然。

$appgw = Get-AzApplicationGateway -Name <your Application Gateway name> -ResourceGroupName <your Resource Group name>
$appgw.ForceFirewallPolicyAssociation = $true

然後,繼續執行步驟,為 WAF 原則與應用程式閘道建立關聯。 如需詳細資訊,請參閱建立 WAF 原則與現有應用程式閘道的關聯

下一步

深入了解 Web 應用程式防火牆 CRS 規則群組與規則