Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Genom att associera en WAF-princip med lyssnare kan flera webbplatser bakom en enda WAF skyddas av olika principer. Om det till exempel finns fem webbplatser bakom din WAF kan du ha fem separata WAF-principer (en för varje lyssnare) för att anpassa undantag, anpassade regler och hanterade regeluppsättningar för en webbplats utan att påverka de andra fyra. Om du vill att en enskild princip ska gälla för alla webbplatser kan du bara associera principen med Application Gateway, i stället för enskilda lyssnare, så att den tillämpas globalt. Policyer kan också tillämpas på en sökvägsbaserad ruttstyrningsregel.
Du kan skapa så många principer du vill. När du har skapat en princip måste den vara associerad med en Application Gateway för att den ska träda i kraft, men den kan associeras med valfri kombination av Application Gateways och lyssnare.
Om din Application Gateway har en associerad policy, och du sedan associerar en annan policy med en lyssnare på den Application Gateway, träder den lyssnarens policy i kraft, men bara för de lyssnare de är tilldelade. Application Gateway-principen gäller fortfarande för alla andra lyssnare som inte har någon specifik princip tilldelad till sig.
Anteckning
När en brandväggspolicy är kopplad till en webbapplikationsbrandvägg (WAF) måste det alltid finnas en policy kopplad till den WAF:en. Du kan skriva över den principen, men det går inte att koppla bort en princip från WAF helt och hållet.
Alla nya WAF-inställningar för brandväggen för webbaserade program (anpassade regler, konfigurationer av hanterade regeluppsättningar, undantag osv.) inkluderas i en WAF-policy. Om du har en befintlig WAF kan de här inställningarna fortfarande finnas i waf-konfigurationen. Anvisningar om hur du flyttar till den nya WAF-principen finns i Uppgradera waf-konfigurationen till en WAF-princip senare i den här artikeln.
WAF-principer måste vara i aktiverat tillstånd för att inspektera trafikbegäran, logga händelser och vidta åtgärder på begäranden. WAF-policyer i identifieringsläge loggar händelser när WAF-regler utlöses, men vidtar inga andra åtgärder. Riktlinjer i förebyggande läge åtgärdar begäranden och loggar händelsen i loggboken.
Skapa en policy
Skapa först en grundläggande WAF-princip med en hanterad standardregeluppsättning (DRS) med hjälp av Azure Portal.
Välj Skapa en resurs längst upp till vänster i portalen. Sök efter WAF, välj Brandvägg för webbprogram och välj sedan Skapa.
På sidan Skapa en WAF-princip , fliken Grundläggande , anger eller väljer du följande information och godkänner standardinställningarna för de återstående inställningarna:
Inställning Värde Policy för Regional WAF (Applikationsgateway) Prenumeration Välj ditt prenumerationsnamn Resursgrupp Välj din resursgrupp Policynamn Ange ett unikt namn för din WAF-policy. På fliken Association väljer du Lägg till association och väljer sedan någon av följande inställningar:
Inställning Värde Application Gateway Välj programgatewayen och välj sedan Lägg till. HTTP-lyssnare Välj programgatewayen, välj lyssnarna och välj sedan Lägg till. Ruttväg Välj programgatewayen, välj lyssnaren, välj routningsregeln och välj sedan Lägg till. Anteckning
Om du tilldelar en princip till din Application Gateway (eller lyssnare) som redan har en princip på plats skrivs den ursprungliga principen över och ersätts av den nya principen.
Välj Granska + skapa och välj sedan Skapa.
Konfigurera WAF-regler (valfritt)
När du skapar en WAF-princip är den som standard i detekteringsläge. I identifieringsläge blockerar WAF inte några begäranden. I stället loggas matchande WAF-regler i WAF-loggarna. Om du vill se waf i praktiken kan du ändra lägesinställningarna till Förebyggande. I preventionsläge blockeras och/eller loggas matchningsregler som definierats i de Microsoft hanterade regelsatser som du har valt i WAF-loggarna.
Hanterade regler
Azure-hanterade OWASP-regler är aktiverade som standard. Om du vill inaktivera en enskild regel i en regelgrupp expanderar du reglerna i regelgruppen, markerar kryssrutan framför regelnumret och väljer Inaktivera.
Anpassade regler
Om du vill skapa en anpassad regel väljer du Lägg till anpassad regel under fliken Anpassade regler . Då öppnas konfigurationssidan för anpassad regel. Följande skärmbild visar ett exempel på en anpassad regel som har konfigurerats för att blockera en begäran om frågesträngen innehåller texten blockme.
Uppgradera WAF-konfigurationen till en WAF-policy
Om du har en befintlig WAF kan du märka några ändringar i portalen. Först måste du identifiera vilken typ av princip du har aktiverat på din WAF. Det finns tre möjliga tillstånd:
- Ingen WAF-princip
- Endast princip för anpassade regler
- WAF-policy
Du kan se vilket tillstånd din WAF är i genom att titta på den i portalen. Om WAF-inställningarna är synliga och kan ändras inifrån Application Gateway-vyn är din WAF i tillstånd 1.
Om du väljer Brandvägg för webbprogram och den visar en associerad princip är WAF i tillstånd 2 eller tillstånd 3. När du har navigerat till policyn, om den bara visar anpassade regler och associerade applikationsgateways, är det en princip för endast anpassade regler.
Om den även visar principinställningar och hanterade regler är det en fullständig brandväggsprincip för webbprogram.
Uppgradera till WAF-policy
Om du har enbart en WAF-princip för anpassade regler, kanske du vill byta till den nya WAF-principen. En policy stödjer WAF-policyinställningar, hanterade regeluppsättningar, undantag och inaktiverade regelgrupper. I princip görs nu alla WAF-konfigurationer som tidigare gjordes i Application Gateway via WAF-principen.
Redigeringar av WAF-policy för endast anpassade regler är inaktiverade. Om du vill redigera waf-inställningar som att inaktivera regler, lägga till undantag osv. måste du uppgradera till en ny brandväggsprincipresurs på den översta nivån.
Det gör du genom att skapa en brandväggsprincip för webbaserade program och associera den med valfria Application Gateways och lyssnare. Den här nya principen måste vara exakt densamma som den aktuella WAF-konfigurationen, vilket innebär att alla anpassade regler, undantag, inaktiverade regler osv. måste kopieras till den nya princip som du skapar. När du har en princip som är associerad med din Application Gateway kan du fortsätta att göra ändringar i dina WAF-regler och -inställningar. Du kan också göra detta med Azure PowerShell. Mer information finns i Associera en WAF-princip med en befintlig Application Gateway.
Du kan också använda ett migreringsskript för att uppgradera till en WAF-princip. Mer information finns i Uppgradera brandväggsprinciper för webbprogram med Azure PowerShell.
Tvångsläge
Om du inte vill kopiera allt till en princip som är exakt densamma som din aktuella konfiguration kan du ställa in WAF i "force"-läge. Kör följande Azure PowerShell-kod för att sätta din WAF i kraftläge. Sedan kan du associera valfri WAF-princip till din WAF, även om den inte har exakt samma inställningar som din konfiguration.
$appgw = Get-AzApplicationGateway -Name <your Application Gateway name> -ResourceGroupName <your Resource Group name>
$appgw.ForceFirewallPolicyAssociation = $true
Fortsätt sedan med stegen för att associera en WAF-princip till din programgateway. Mer information finns i Associera en WAF-princip med en befintlig Application Gateway.
Nästa steg
Läs mer om CRS-regelgrupper och regler för brandväggen för webbaserade program.