你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure Front Door 中的 Web 应用程序防火墙的策略设置

使用 Web 应用程序防火墙 (WAF) 策略，可以通过一组自定义规则和托管规则来控制对 Web 应用程序的访问。 WAF 策略名称必须是唯一的。 如果尝试使用现有名称，则会收到验证错误。 有多个策略级别设置适用于本文所述的策略所指定的所有规则。

WAF 状态

Azure Front Door 的 WAF 策略可处于以下两种状态之一：

• 已启用：启用策略后，WAF 将主动检查传入的请求，并根据规则定义采取相应的操作。
• 已禁用：禁用策略后，WAF 检查将暂停。 传入请求将绕过 WAF，并根据 Azure Front Door 路由发送到后端。

WAF 模式

可以将 WAF 策略配置为在以下两种模式下运行：

• 检测模式：在检测模式下运行时，WAF 除进行监视并将请求及其匹配的 WAF 规则记录到 WAF 日志中以外，不会执行任何操作。 使用 Azure 门户时，为 Azure Front Door 启用日志记录诊断。 （转到 Azure 门户中的“诊断”部分。）
• 阻止模式：如果 WAF 配置为以阻止模式运行，则如果请求与规则匹配，WAF 将执行指定的操作。 任何匹配的请求也会记录在 WAF 日志中。

已阻止请求的 WAF 响应

默认情况下，当 WAF 由于匹配的规则而阻止请求时，它将返回 403 状态代码，并显示消息“请求已被阻止”。它还会返回用于日志记录的引用字符串。

可以定义当 WAF 阻止请求时显示的自定义响应状态代码和响应消息。 支持以下自定义状态代码：

• 200 正常
• 403 禁止访问
• 405 不允许使用该方法
• 406 不可接受
• 429 请求过多

自定义响应状态代码和响应消息是一种策略级别设置。 配置完成后，所有被阻止的请求均会收到相同的自定义响应状态和响应消息。

重定向操作的 URI

如果为 WAF 策略包含的任何规则选择了 REDIRECT 操作，则需要定义将请求重定向到的 URI。 此重定向 URI 必须是有效的 HTTP(S) 站点。 配置完成后，与具有 REDIRECT 操作的规则匹配的所有请求都会重定向到指定的站点。

后续步骤

了解如何定义 WAF 自定义响应。