Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Powiązanie polityki WAF ze słuchaczami umożliwia ochronę wielu witryn za pojedynczą zaporą WAF przez różne polityki. Na przykład, jeśli za zaporą aplikacji internetowej znajduje się pięć witryn, możesz mieć pięć oddzielnych zasad zapory aplikacji internetowej (po jednej dla każdego nasłuchiwacza), aby dostosować wykluczenia, reguły niestandardowe i zarządzane zestawy reguł dla jednej witryny bez wpływania na pozostałe cztery. Jeśli chcesz, aby pojedyncze zasady były stosowane do wszystkich witryn, możesz po prostu skojarzyć zasady z Application Gateway, a nie z poszczególnymi odbiornikami, aby były stosowane globalnie. Zasady można również stosować do reguły routingu opartej na ścieżkach.
Możesz utworzyć tyle zasad, ile chcesz. Po utworzeniu zasad należy je skojarzyć z Application Gateway, aby zaczęły obowiązywać, ale można je skojarzyć z dowolną kombinacją Application Gateway i odbiorników.
Jeśli Application Gateway ma skojarzone zasady, a następnie skojarzysz inne zasady z odbiornikiem w tej Application Gateway, zasady odbiornika zaczną obowiązywać, ale tylko dla odbiorników, do których są przypisane. Zasady Application Gateway nadal mają zastosowanie do wszystkich innych odbiorników, które nie mają przypisanych do nich określonych zasad.
Uwaga / Notatka
Po skojarzeniu polityki zapory z zaporą aplikacji internetowej, zawsze musi istnieć polityka skojarzona z tą zaporą. Możesz nadpisać te zasady, ale całkowite usunięcie skojarzenia zasad z WAF nie jest obsługiwane.
Wszystkie nowe ustawienia zapory aplikacji internetowej Web Application Firewall (reguły niestandardowe, konfiguracje zarządzanych zestawów reguł, wykluczenia itp.) są zawarte w polityce zapory aplikacji internetowej WAF. Jeśli masz istniejącą zaporę aplikacji internetowej, te ustawienia mogą nadal istnieć w konfiguracji zapory aplikacji internetowej. Aby uzyskać instrukcje dotyczące przechodzenia do nowych zasad zapory aplikacji internetowej, zobacz Uaktualnianie konfiguracji zapory aplikacji internetowej do zasad zapory aplikacji internetowej w dalszej części tego artykułu.
Polityki WAF muszą być w stanie włączonym, aby inspekcja ruchu żądań, rejestrowanie zdarzeń i podejmowanie działań na żądaniach były możliwe. Zasady zapory aplikacji internetowej w trybie wykrywania rejestrują zdarzenia, gdy są wyzwalane reguły zapory aplikacji internetowej, ale nie podejmują żadnych innych działań. Zasady w trybie prewencji podejmują działania na żądania i zapisują zdarzenie w dziennikach.
Tworzenie zasad
Najpierw utwórz podstawowe zasady zapory aplikacji internetowej (WAF) z zarządzanym domyślnym zestawem reguł (DRS) przy użyciu portalu Azure.
W lewym górnym rogu portalu wybierz pozycję Utwórz zasób. Wyszukaj WAF, wybierz Zapora aplikacji internetowej, a następnie wybierz Utwórz.
Na stronie Tworzenie polityki WAF na karcie Podstawy wprowadź lub wybierz następujące informacje, a następnie zaakceptuj wartości domyślne pozostałych ustawień:
Ustawienia Wartość Polityka dla Regionalny WAF (Bramka Aplikacji) Subskrypcja Wybierz nazwę subskrypcji Grupa zasobów Wybierz grupę zasobów Nazwa zasady Wpisz unikatową nazwę dla polityki zapory aplikacji internetowej. Na karcie Skojarzenie wybierz pozycję Dodaj skojarzenie, a następnie wybierz jedno z następujących ustawień:
Ustawienia Wartość Application Gateway Wybierz bramę aplikacji, a następnie wybierz pozycję Dodaj. Odbiornik HTTP Wybierz bramę aplikacji, wybierz odbiorniki, a następnie wybierz pozycję Dodaj. Przebieg trasy Wybierz bramę aplikacji, wybierz odbiornik, wybierz regułę routingu, a następnie wybierz pozycję Dodaj. Uwaga / Notatka
Jeśli przypiszesz politykę do Application Gateway (lub odbiorcy), który ma już przypisaną politykę, oryginalna polityka zostanie zastąpiona nową polityką.
Wybierz Przegląd + utwórz, a następnie wybierz Utwórz.
Konfigurowanie reguł WAF (opcjonalnie)
Podczas utworzenia polityki WAF, domyślnie jest ona w trybie wykrywania. W trybie wykrywania zapora aplikacji internetowej nie blokuje żadnych żądań. Zamiast tego pasujące reguły WAF są rejestrowane w dziennikach WAF. Aby zobaczyć WAF w działaniu, możesz zmienić ustawienia trybu na Zapobieganie. W trybie zapobiegania pasujące reguły zdefiniowane w wybranych zestawach reguł zarządzanych przez firmę Microsoft są blokowane i/lub zapisywane w dziennikach WAF.
Reguły zarządzane
Reguły OWASP zarządzane przez platformę Azure są domyślnie włączone. Aby wyłączyć pojedynczą regułę w grupie reguł, rozwiń reguły w tej grupie reguł, zaznacz pole wyboru przed numerem reguły, a następnie wybierz pozycję Wyłącz.
Reguły niestandardowe
Aby utworzyć regułę niestandardową, wybierz pozycję Dodaj regułę niestandardową na karcie Reguły niestandardowe . Spowoduje to otwarcie strony konfiguracji reguły niestandardowej. Poniższy zrzut ekranu przedstawia przykładową regułę niestandardową skonfigurowaną do blokowania żądania, jeśli ciąg zapytania zawiera tekst blockme.
Zaktualizuj swoją konfigurację zapory aplikacji internetowej do polityki zapory aplikacji internetowej
Jeśli masz istniejącą zaporę sieciową, możesz zauważyć pewne zmiany w portalu. Najpierw musisz określić, jakiego rodzaju politykę włączyłeś w swojej zaporze aplikacji internetowej. Istnieją trzy potencjalne stany:
- Brak zasad zapory aplikacji internetowej
- Polityka dotycząca wyłącznie reguł niestandardowych
- Polityka zapory aplikacji sieciowej
Możesz określić, w jakim stanie znajduje się WAF, sprawdzając go w portalu. Jeśli ustawienia zapory aplikacji internetowej są widoczne i można je zmienić z poziomu widoku Application Gateway, zapora aplikacji internetowej jest w stanie 1.
Jeśli wybierzesz Web Application Firewall i zostanie wyświetlona skojarzona zasada, zapora aplikacji internetowej jest w trybie 2 lub trybie 3. Po przejściu do zasad, jeśli wyświetlane są tylko reguły niestandardowe i skojarzone bramy aplikacji, oznacza to, że mamy do czynienia z zasadą zawierającą wyłącznie reguły niestandardowe.
Jeśli pokazuje również ustawienia polityki i reguły zarządzane, jest to pełna polityka zapory aplikacji internetowej.
Uaktualnianie do zasad zapory aplikacji sieci Web
Jeśli masz politykę WAF opartą wyłącznie na regułach niestandardowych, możesz rozważyć przejście na nowe zasady WAF. Polityka WAF obsługuje ustawienia polityki WAF, zarządzane zestawy reguł, wykluczenia i grupy reguł, które zostały wyłączone. Zasadniczo wszystkie konfiguracje, które wcześniej były wykonywane wewnątrz Application Gateway, są teraz realizowane za pośrednictwem Polityki WAF.
Edytowanie zasad polityki WAF dla reguł niestandardowych jest wyłączone. Aby edytować dowolne ustawienia zapory aplikacji internetowej, takie jak wyłączanie reguł, dodawanie wykluczeń itp., należy zaktualizować do nowego zasobu polityki zapory najwyższego poziomu.
W tym celu utwórz zasady Web Application Firewall i skojarz je z wybranymi Application Gateway i odbiornikami. Ta nowa polityka musi być dokładnie taka sama jak bieżąca konfiguracja zapory aplikacji internetowej (WAF), co oznacza, że każda reguła niestandardowa, każde wykluczenie i wyłączona reguła itp. muszą zostać skopiowane do nowej polityki, którą tworzysz. Po powiązaniu polityki z Twoim Application Gateway, możesz kontynuować wprowadzanie zmian w regułach i ustawieniach zapory aplikacji (WAF). Możesz to również zrobić za pomocą Azure PowerShell. Aby uzyskać więcej informacji, zobacz Kożenie polityki WAF z istniejącą Application Gateway.
Opcjonalnie możesz użyć skryptu migracyjnego, aby zaktualizować do polityki WAF. Aby uzyskać więcej informacji, zobacz Uaktualnianie zasad Web Application Firewall przy użyciu Azure PowerShell.
Tryb siły
Jeśli nie chcesz kopiować wszystkiego do polityki, która jest dokładnie taka sama jak bieżąca konfiguracja, możesz ustawić zaporę aplikacji sieciowej (WAF) w trybie wymuszenia. Uruchom następujący kod Azure PowerShell, aby uruchomić Web Application Firewall (WAF) w trybie wymuszenia. Następnie możesz skojarzyć dowolną Politykę WAF ze swoim WAF-em, nawet jeśli nie ma ona dokładnie takich samych ustawień jak twoja konfiguracja.
$appgw = Get-AzApplicationGateway -Name <your Application Gateway name> -ResourceGroupName <your Resource Group name>
$appgw.ForceFirewallPolicyAssociation = $true
Następnie wykonaj kroki, aby skojarzyć zasady WAF z bramą aplikacji. Aby uzyskać więcej informacji, zobacz Kojarzenie zasad ochrony aplikacji sieciowej z istniejącym Application Gateway.
Następny krok
Dowiedz się więcej o grupach reguł i regułach CRS Web Application Firewall.