Introducción a las directivas de firewall de aplicaciones web (WAF) de Azure
Las directivas de firewall de aplicaciones web contienen todas las configuraciones y opciones de WAF. Esto incluye exclusiones, reglas personalizadas o reglas administradas, entre otras. Después, estas directivas se asocian a una puerta de enlace de aplicaciones (global), un cliente de escucha (por sitio) o una regla basada en ruta de acceso (por URI) para que surtan efecto.
No hay límite en el número de directivas que puede crear. Cuando se crea una directiva, se debe asociar a una puerta de enlace de aplicaciones para que surta efecto. Se puede asociar a cualquier combinación de puertas de enlace de aplicaciones, clientes de escucha y reglas basadas en rutas de acceso.
Nota
Application Gateway tiene dos versiones de la SKU de WAF: Application Gateway WAF_v1 y Application Gateway WAF_v2. Las asociaciones de directivas de WAF solo se admiten para la SKU Application Gateway WAF_v2.
Directiva WAF global
Al asociar una directiva de WAF globalmente, cada sitio detrás del WAF de Application Gateway se protege con las mismas reglas administradas, reglas personalizadas, exclusiones y cualquier otro valor configurado.
Si desea que se aplique una única directiva a todos los sitios, puede asociar la directiva a la puerta de enlace de aplicaciones. Para más información, consulte este artículo para saber cómo crear directivas de firewall de aplicaciones web para Application Gateway.
Directiva de WAF por sitio
Con las directivas de WAF por sitio, puede proteger varios sitios con necesidades de seguridad diferentes en un solo WAF mediante el uso de directivas por sitio. Por ejemplo, si hay cinco sitios detrás del WAF, puede tener cinco directivas de WAF independientes (una para cada cliente de escucha) para personalizar las exclusiones, las reglas personalizadas, los conjuntos de reglas administradas y todas las demás configuraciones de WAF para cada sitio.
Supongamos que la puerta de enlace de aplicaciones tiene una directiva global aplicada. Aplique entonces una directiva diferente a un cliente de escucha en esa puerta de enlace de aplicaciones. La directiva del cliente de escucha ahora surte efecto solo para ese cliente de escucha. La directiva global de la puerta de enlace de aplicaciones se sigue aplicando a todos los demás clientes de escucha y reglas basadas en rutas de acceso que no tienen una directiva específica asignada.
Directiva por URI
Para personalizar aún más al nivel de URI, puede asociar una directiva de WAF a una regla basada en ruta de acceso. Si hay determinadas páginas en un solo sitio que requieren directivas diferentes, puede realizar cambios en la directiva de WAF que solo afecten a un URI determinado. Esto puede aplicarse a una página de pago o de inicio de sesión, o a cualquier otro URI que necesite una directiva de WAF aún más específica que los demás sitios de WAF.
Al igual que con las directivas de WAF por sitio, las directivas más específicas reemplazan a las menos específicas. Esto significa que una directiva por URI en una asignación de ruta de dirección URL invalida cualquier directiva de WAF global o por sitio anterior.
Ejemplo
Supongamos que tiene tres sitios: contoso.com, fabrikam.com y adatum.com, todos ellos detrás de la misma puerta de enlace de aplicaciones. Quiere que WAF se aplique a los tres sitios, pero necesita mayor seguridad con adatum.com porque es donde los clientes visitan, examinan y compran productos.
Puede aplicar una directiva global a WAF, con algunas opciones básicas, exclusiones o reglas personalizadas, si es necesario, para evitar que algunos falsos positivos bloqueen el tráfico. En este caso, no es necesario que se ejecuten reglas globales de inyección de SQL, ya que fabrikam.com y contoso.com son páginas estáticas sin back-end de SQL. Por lo tanto, puede deshabilitar esas reglas en la directiva global.
Esta directiva global es adecuada para contoso.com y fabrikam.com, pero debe tener más cuidado con adatum.com, donde se administran los pagos y la información de inicio de sesión. Puede aplicar una directiva por sitio al cliente de escucha de adatum y dejar las reglas de SQL en ejecución. Supongamos también que hay una cookie que bloquea el tráfico, por lo que puede crear una exclusión para esa cookie para detener el falso positivo.
El URI de adatum.com/payments es donde hay que tener cuidado. Por tanto, aplique otra directiva en ese URI y deje todas las reglas habilitadas, y también quite todas las exclusiones.
En este ejemplo, tiene una directiva global que se aplica a dos sitios. Tiene una directiva por sitio que se aplica a un sitio y, a continuación, una directiva por URI que se aplica a una regla específica basada en la ruta de acceso. Consulte Configuración de directivas de WAF por sitio mediante Azure PowerShell para el PowerShell correspondiente para este ejemplo.
Configuraciones WAF existentes
Toda la nueva configuración de WAF del firewall de aplicaciones web (reglas personalizadas, configuraciones de conjunto de reglas administradas, exclusiones, etc.) se encuentra en una directiva de WAF. Si tiene una instancia de WAF existente, es posible que esta configuración siga existiendo en la configuración de WAF. Para obtener más información sobre cómo cambiar a la nueva directiva de WAF, consulteMigración de la configuración de WAF a una directiva de WAF.