Azure Web 應用程式防火牆 (WAF) 原則概觀
Web 應用程式防火牆原則包含所有 WAF 設定和組態。 這包括排除、自訂規則、受控規則等等。 這些原則接著會與應用程式閘道 (全域)、接聽程式 (依網站) 或路徑型規則 (依 URI) 建立關聯並生效。
您可以建立的原則數目沒有任何限制。 當您建立原則時,該原則必須與應用程式閘道相關聯才會生效。 原則可以與應用程式閘道、接聽程式和路徑型規則的任何組合相關聯。
注意
應用程式閘道有兩個版本的 WAF SKU:應用程式閘道 WAF_v1 和應用程式閘道 WAF_v2。 只有應用程式閘道 WAF_v2 SKU 才支援 WAF 原則關聯。
全域 WAF 原則
當您全域建立 WAF 原則的關聯時,應用程式閘道 WAF 後方的每個網站都會受到相同的受控規則、自訂規則、排除,以及任何其他已設定的設定保護。
如果您想要將單一原則套用至所有網站,您可以將原則與應用程式閘道產生關聯。 如需詳細資訊,請參閱使用針對應用程式閘道建立 Web 應用程式防火牆原則,以使用 Azure 入口網站建立及套用 WAF 原則應用程式閘道原則。
依網站 WAF 原則
透過每個網站的 WAF 原則,您可以使用每個網站原則,在單一 WAF 背後保護安全性需求不同的多個網站。 例如,如果您的 WAF 背後有五個網站,您就可以有五個不同的 WAF 原則 (每個接聽程式各一個),以自訂排除清單、自訂規則、受控規則集,以及每個網站的所有其他 WAF 設定。
假設您的應用程式閘道已套用全域原則。 然後,您將不同的原則套用至該應用程式閘道上的接聽程式。 該接聽程式的原則現在只會對該接聽程式生效。 應用程式閘道的全域原則仍然會套用至所有其他接聽程式,以及未獲派特定原則的路徑型規則。
依 URI 原則
若要更深入地自訂至 URI 層級,您可以將 WAF 原則與路徑型規則產生關聯。 如果單一網站內有特定頁面需要不同的原則,您可以變更只影響指定 URI 的 WAF 原則。 這可能適用於付款或登入頁面,或任何其他需要比 WAF 後方其他網站更具體 WAF 原則的 URI。
如同依網站 WAF 原則,更特定的原則會覆寫較不特定的原則。 這表示 URL 路徑對應上的依 URI 原則會覆寫其上方的任何個別網站或全域 WAF 原則。
範例
假設您有三個網站:contoso.com、fabrikam.com 和 adatum.com 位於相同的應用程式閘道後方。 您想要將 WAF 套用至這三個網站,但您需要增加 adatum.com 的安全性,因為這是客戶流覽、瀏覽和購買產品的地方。
如有需要,您可以將全域原則套用至 WAF,其中包含一些基本設定、排除或自訂規則,以阻止某些誤判封鎖流量。 在此情況下,不需要執行全域 SQL 插入規則,因為 fabrikam.com 和 contoso.com 是沒有 SQL 後端的靜態頁面。 因此,您可以在全域原則中停用這些規則。
此全域原則適用於 contoso.com 和 fabrikam.com,但您必須謹慎處理登入資訊和付款所在的 adatum.com。 您可以將依網站原則套用至 adatum 接聽程式,並讓 SQL 規則保持執行狀態。 此外,假設有 Cookie 封鎖某些流量,因此您可以為該 Cookie 建立排除來停止誤判。
adatum.com/payments URI 是您需要特別小心的位置。 因此,在該 URI 上套用另一個原則,並讓所有規則保持啟用狀態,同時移除所有排除。
在此範例中,您有一個適用於兩個網站的全域原則。 還有一個適用於一個網站的依網站原則,另外有套用至一個特定路徑型規則的依 URI 原則。 如需此範例的對應 PowerShell,請參閱使用 Azure PowerShell 設定個別網站的 WAF 原則。
現有的 WAF 組態
所有新的 Web 應用程式防火牆 WAF 設定 (自訂規則、受控規則集設定、排除等等) 存在於 WAF 原則中。 如果您有現有的 WAF,這些設定可能仍存在於 WAF 組態中。 如需移至新 WAF 原則的詳細資訊,請將 WAF 設定移轉至 WAF 原則。