Configurações de política do Firewall de Aplicativo Web no Azure Front Door

Uma política do WAF (firewall do aplicativo Web) permite que você controle o acesso aos aplicativos Web por meio de um conjunto de regras personalizadas e gerenciadas. A nome da política do WAF deve ser exclusivo. Você receberá um erro de validação se tentar usar um nome existente. Existem várias configurações de nível de política que se aplicam a todas as regras especificadas para essa política, conforme descrito neste artigo.

Estado do WAF

Uma política do WAF para o Azure Front Door pode estar em um dos dois estados a seguir:

  • Habilitada: quando uma política está habilitada, o WAF está inspecionando ativamente as solicitações de entrada e toma as medidas correspondentes de acordo com as definições de regra.
  • Desabilitada: quando uma política está desabilitada, a inspeção do WAF está pausada. As solicitações de entrada ignorarão o WAF e serão enviadas para back-ends com base no roteamento do Azure Front Door.

Modos do WAF

A política do WAF pode ser configurada para ser executada nos dois modos a seguir:

  • Modo de detecção: quando executado no modo de detecção, o WAF não executa ações além de monitorar e registrar a solicitação e sua regra do WAF correspondente nos logs do WAF. Ative o diagnóstico de registro em log para o Azure Front Door ao usar o portal do Azure. (Vá para a seção Diagnóstico no portal do Azure.)
  • Modo de prevenção: ao ser configurado pra executar o modo de prevenção, o WAF toma a medida especificada se uma solicitação corresponder a uma regra. Qualquer solicitação correspondente também é registrada nos logs do WAF.

Resposta do WAF para solicitações bloqueadas

Por padrão, quando o WAF bloqueia uma solicitação devido a uma regra correspondente, ele retorna um código de status 403 com a mensagem "A solicitação está bloqueada". Uma cadeia de caracteres de referência também é retornada para registro em log.

É possível definir um código de status de resposta personalizado e uma mensagem de resposta quando uma solicitação for bloqueada pelo WAF. Há suporte para os seguintes códigos de status personalizados:

  • 200 OK
  • 403 Proibido
  • 405 Método não permitido
  • 406 Não aceitável
  • 429 Número excessivo de solicitações

O código de status de resposta personalizado e a mensagem de resposta são uma configuração de nível de política. Uma vez definida, todas as solicitações bloqueadas recebem o mesmo status de resposta personalizado e mensagem de resposta.

URI para ação de redirecionamento

É necessário definir um URI para redirecionar solicitações se a ação REDIRECT estiver selecionada para uma das regras contidas em uma política do WAF. Esse URI de redirecionamento precisa ser um site HTTP(S) válido. Depois de configurado, todas as solicitações que correspondem regras com uma ação REDIRECT são redirecionadas para o site especificado.

Próximas etapas

Saiba como definir as respostas personalizadas do WAF.