Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Связывание политики WAF с прослушивателями позволяет защищать несколько сайтов, находящихся за одним WAF-сервером, с помощью разных политик. Например, если у вас есть пять сайтов, задействованных в WAF, вы можете создать пять отдельных политик WAF (по одной для каждого прослушивателя), чтобы настроить исключения, правила настройки и управляемые наборы правил для одного сайта, не затрагивая остальные четыре сайта. Если требуется применить одну политику ко всем сайтам, можно просто связать ее со Шлюзом приложений, а не с отдельными прослушивателями, тогда она будет использоваться глобально. Политики также можно применить к правилу маршрутизации, основанному на пути.
Вы можете создать любое количество полисов. Чтобы политика вступила в силу после создания, ее необходимо связать со Шлюзом приложений, но можно связать ее с любым сочетанием Шлюзов приложений и прослушивателей.
Если у Шлюза приложений есть связанная политика, и затем вы связываете другую политику с прослушивателем на этом Шлюзе приложений, политика прослушивателя вступает в силу, но только для тех прослушивателей, которым она назначена. Политика Шлюза приложений будет по-прежнему применяться ко всем другим прослушивателям, которым не назначена определенная политика.
Примечание.
После того как политика брандмауэра была связана с WAF, всегда должна существовать политика, связанная с этим WAF. Эту политику можно перезаписать, но отмена связывания политики с WAF полностью не поддерживается.
Все новые параметры Брандмауэра веб-приложений (настраиваемые правила, конфигурации управляемых правил, исключения и т. д.) содержатся в политике WAF. Если у вас есть WAF, эти параметры могут по-прежнему существовать в конфигурации WAF. Инструкции по переходу к новой политике WAF см. в статье об обновлении конфигурации WAF до политики WAF далее в этой статье.
Политики WAF должны находиться во включённом состоянии для проверки трафика запросов, регистрации событий и принятия действий по запросам. Политики WAF в режиме обнаружения фиксируют события в журнале при срабатывании правил WAF, но не предпринимают других действий. Политики в режиме предотвращения принимают меры по запросам и регистрируют событие в журналах.
Создание политики
Сначала создайте на портале Azure базовую политику WAF с управляемым набором правил по умолчанию (DRS).
Вверху слева на портале выберите Создать ресурс. Введите WAF для поиска, выберите элемент Брандмауэр веб-приложений и щелкните Создать.
На странице Создание политики WAF на вкладке Основные сведения введите или выберите следующие сведения и примите значения по умолчанию для остальных параметров:
Настройка Значение Политика для Региональный WAF (Шлюз приложений) Подписка Выберите имя подписки Группа ресурсов Выбор группы ресурсов Имя политики Введите уникальное имя для политики WAF (Web Application Firewall). На вкладке Связь выберите Добавить связь, затем выберите один из следующих параметров:
Настройка Значение Шлюз приложений Выберите шлюз приложений, а затем щелкните Добавить. Прослушиватель HTTP Выберите шлюз приложений, прослушиватели, а затем нажмите Добавить. Маршрутный путь Выберите шлюз приложений, прослушиватель и правило маршрутизации, а затем нажмите Добавить. Примечание.
При назначении политики для Шлюза приложений (или прослушивателя), для которого уже есть политика, исходная политика перезаписывается и заменяется новой.
Выберите Проверить и создать, а затем выберите Создать.
Настройка правил WAF (необязательно)
При создании политики WAF по умолчанию она находится в режиме Обнаружение. В режиме Обнаружение WAF не блокирует запросы. Вместо этого соответствующие правила WAF регистрируются в журналах WAF. Чтобы увидеть WAF в действии, можно изменить настройки режима на Предотвращение. В режиме предотвращения выбранные вами правила сопоставления, определенные в выбранных наборах управляемых правил Майкрософт, блокируются и /или регистрируются в журналах WAF.
Управляемые правила
Правила OWASP, управляемые Azure, включены по умолчанию. Чтобы отключить отдельное правило в группе правил, разверните правила в этой группе правил, установите флажок перед номером правила и нажмите кнопку "Отключить".
Настраиваемые правила
Чтобы создать настраиваемое правило, выберите Добавить настраиваемое правило на вкладке Настраиваемые правила. Откроется страница настройки правила. На следующем снимке экрана показан пример настраиваемого правила, настроенного для блокировки запроса, если строка запроса содержит текст blockme.
Обновление конфигурации WAF до политики WAF
Если вы используете WAF, вы можете заметить некоторые изменения на портале. Сначала необходимо определить, какую политику вы включили в WAF. Существует три возможных состояния.
- Политика WAF отсутствует
- Политика, основанная только на настраиваемых правилах
- Политика WAF
Вы можете определить, в каком состоянии находится ваш WAF, посмотрев на него на портале. Если параметры WAF видны и их можно изменить в представлении Шлюза приложений, WAF находится в состоянии 1.
Если выбран параметр Брандмауэр веб-приложений и в нем отображается связанная политика, то WAF находится в состоянии 2 или 3. Если после перехода к политике показаны только настраиваемые правила и связанные Шлюзы приложений, то это политика "Только настраиваемые правила".
Если в ней также показаны параметры политики и управляемые правила, это полная политика Брандмауэра веб-приложений.
Переход на политику WAF
Если у вас есть политика WAF, содержащая только настраиваемые правила, может иметь смысл перейти к новой политике WAF. Политика поддерживает параметры политики WAF, управляемые наборы правил, исключения и отключенные группы правил. По сути, все настройки WAF, которые ранее задавались в Шлюзе приложений, теперь устанавливаются с помощью политики WAF.
Изменения в политике WAF "только для настраиваемых правил" отключены. Чтобы изменить все параметры WAF, такие как отключение правил, добавление исключений и т. д., необходимо обновить до нового ресурса политики брандмауэра верхнего уровня.
Для этого создайте политику брандмауэра для веб-приложений и свяжите её с требуемыми шлюзами приложений и прослушивателями. Новая политика должна точно совпадать с текущей конфигурацией WAF, то есть каждое настраиваемое правило, исключение, отключенное правило и т. д. должно быть скопировано в новую политику, которую вы создаете. После связывания политики со Шлюзом приложений можно продолжить внесение изменений в правила и параметры WAF. Это также можно сделать с помощью Azure PowerShell. Дополнительные сведения см. в статье Связывание политики WAF с существующим Шлюзом приложений.
При необходимости можно использовать скрипт миграции для обновления до политики WAF. Дополнительные сведения см. в статье об обновлении политик Брандмауэр веб-приложений с помощью Azure PowerShell.
Принудительный режим
Если вы не хотите копировать все в политику, которая точно совпадает с текущей конфигурацией, можно включить для WAF принудительный режим. Выполните следующий код Azure PowerShell, чтобы перевести WAF в принудительный режим. Затем можно связать любую политику WAF с вашим WAF, даже если она не имеет точно таких же настроек, как ваша конфигурация.
$appgw = Get-AzApplicationGateway -Name <your Application Gateway name> -ResourceGroupName <your Resource Group name>
$appgw.ForceFirewallPolicyAssociation = $true
Затем выполните необходимые действия, чтобы связать политику WAF со шлюзом приложений. Дополнительные сведения см. в статье Связывание политики WAF с существующим Шлюзом приложений.
Следующий шаг
Дополнительные сведения о группах правил и правилах CRS Брандмауэра веб-приложений.