分享方式:


Azure Front Door 中的 Web 應用程式防火牆原則設定

Web 應用程式防火牆 (WAF) 原則可讓您透過一組自訂和受控規則來控制 Web 應用程式的存取權。 WAF 原則名稱必須是唯一的。 如果您嘗試使用現有的名稱,則會收到驗證錯誤。 如本文所述,多個原則層級設定會套用至針對該原則指定的所有規則。

WAF 狀態

Azure Front Door 的 WAF 原則有下列兩種狀態之一:

  • 啟用:啟用原則時,WAF 會主動檢查傳入要求,並根據規則定義採取對應的動作。
  • 停用:停用原則時,將會暫停 WAF 檢查。 傳入要求會略過 WAF,並根據 Azure Front Door 路由傳送至後端。

WAF 模式

您可以設定 WAF 原則,以下列兩種模式執行:

  • 偵測模式:在偵測模式中執行時,WAF 不會執行監視以外的任何動作,而且會將要求和其相符的 WAF 規則記錄到 WAF 記錄。 當您使用 Azure 入口網站時,開啟 Azure Front Door 的記錄診斷。 (移至 Azure 入口網站中的 [診斷] 區段。)
  • 預防模式:將 WAF 設定為在預防模式中執行時,如果要求符合規則,WAF 便會採取指定動作。 任何相符的要求也會記錄在 WAF 記錄中。

WAF 對封鎖要求的回應

根據預設,當 WAF 因為相符的規則而封鎖要求時,將會傳回具有「要求遭到封鎖」訊息的 403 狀態碼。記錄也會傳回參考字串。

您可以定義當 WAF 封鎖要求時的自訂回應狀態碼和回應訊息。 支援下列自訂狀態碼:

  • 200 OK
  • 403 禁止
  • 405 不允許的方法
  • 406 無法接受
  • 429 太多要求

自訂回應狀態碼和回應訊息是原則層級設定。 設定完畢後,所有封鎖的要求都會取得相同的自訂回應狀態和回應訊息。

重新導向動作的 URI

如有針對 WAF 原則中包含的任一規則選取 REDIRECT 動作,則需要定義 URI 以重新導向要求。 此重新導向 URI 必須是有效的 HTTP(S) 網站。 設定完畢之後,所有與 REDIRECT 動作相符規則的要求都會重新導向至指定的網站。

下一步

了解如何定義 WAF 自訂回應