Visão geral da política do Firewall de Aplicativo Web do Azure

As políticas do Firewall de Aplicativo Web contêm todas as configurações e definições do WAF. Isso inclui exclusões, regras personalizadas, regras gerenciadas e assim por diante. Essas políticas são então associadas a um gateway de aplicativo (global), um ouvinte (por site) ou uma regra baseada em caminho (por URI) para que elas entrem em vigor.

Não há limite para o número de políticas que podem ser criadas. Quando você cria uma política, ela deve estar associada a um gateway de aplicativo para entrar em vigor. Ela pode ser associada a qualquer combinação de gateways de aplicativo, ouvintes e regras baseadas em caminho.

Observação

O Gateway de Aplicativo tem duas versões do SKU do WAF: Gateway de Aplicativo WAF_v1 e Gateway de Aplicativo WAF_v2. As associações de política do WAF só têm suporte para o SKU do Gateway de Aplicativo WAF_v2.

Política global de WAF

Quando você associa uma política WAF globalmente, cada site por trás do WAF do seu Gateway de Aplicativo é protegido com as mesmas regras gerenciadas, regras personalizadas, exclusões e quaisquer outras configurações definidas.

Se desejar que uma única política se aplique a todos os sites, você poderá associar a política ao gateway de aplicativo. Para obter mais informações, confira Criar políticas de Firewall de Aplicativo Web para o Gateway de Aplicativo para criar e aplicar uma política WAF usando o portal do Azure.

Política de WAF por site

Com as políticas de WAF por site, você pode proteger vários sites com diferentes necessidades de segurança por trás de um único WAF usando as políticas por site. Por exemplo, se houver cinco sites por trás de seu WAF, você poderá ter cinco políticas WAF separadas (uma para cada ouvinte) para personalizar as exclusões, as regras personalizadas, os conjuntos de regras gerenciadas e todas as outras configurações de WAF para cada site.

Digamos que o seu gateway de aplicativo tenha uma política global aplicada a ele. Em seguida, aplique uma política diferente a um ouvinte nesse gateway de aplicativo. A política do ouvinte agora entra em vigor apenas para esse ouvinte. A política global do gateway de aplicativo ainda se aplica a todos os outros ouvintes e a todas as outras regras baseadas em caminho que não têm uma política específica atribuída a eles.

Política por URI

Para obter ainda mais personalização até o nível de URI, você pode associar uma política de WAF a uma regra com base em caminho. Se houver determinadas páginas em um único site que exijam políticas diferentes, você poderá fazer alterações na política do WAF que afetam apenas um determinado URI. Isso pode se aplicar a uma página de entrada ou de pagamento ou a qualquer outro URI que precise de uma política de WAF ainda mais específica do que os outros sites por trás de seu WAF.

Assim como ocorre com políticas de WAF por site, políticas mais específicas substituem aquelas menos específicas. Isso significa que uma política por URI em um mapa de caminho de URL substitui qualquer política de WAF por site ou global acima dela.

Exemplo

Digamos que você tenha três sites: contoso.com, fabrikam.com e adatum.com por atrás do mesmo gateway de aplicativo. Você quer um WAF aplicado aos três sites, mas precisa de segurança adicional com o adatum.com, pois é aí que os clientes visitam, navegam e compram produtos.

Você pode aplicar uma política global ao WAF, com algumas configurações básicas, exclusões ou regras personalizadas, se necessário, para interromper alguns falsos positivos do bloqueio do tráfego. Nesse caso, não é necessário ter regras de injeção de SQL globais em execução porque fabrikam.com e contoso.com são páginas estáticas sem back-end de SQL. Portanto, você pode desabilitar essas regras na política global.

Essa política global é adequada para contoso.com e fabrikam.com, mas você precisa ter mais cuidado com adatum.com, que é onde as informações de entrada e os pagamentos são tratados. Você pode aplicar uma política por site ao ouvinte do adatum e deixar as regras de SQL em execução. Além disso, suponha que haja um cookie bloqueando o tráfego, você poderá criar uma exclusão para esse cookie para parar o falso positivo.

O URI adatum.com/payments é onde você precisa ter cuidado. Portanto, aplique outra política a esse URI e deixe todas as regras habilitadas e também remova todas as exclusões.

Neste exemplo, você tem uma política global que se aplica a dois sites. Você tem uma política por site que se aplica a um site e, em seguida, uma política por URI que se aplica a uma regra específica baseada em caminho. Consulte Configurar políticas de WAF por site usando o Azure PowerShell para o PowerShell correspondente para este exemplo.

Configurações de WAF existentes

As novas configurações de WAF do Firewall de Aplicativo Web (regras personalizadas, configurações do conjunto de regras gerenciadas, exclusões e assim por diante) existem em uma política de WAF. Se você tiver um WAF existente, essas configurações ainda poderão existir na configuração do WAF. Para obter mais informações sobre como mover para a nova política de WAF, migre a configuração do WAF para uma política do WAF.

Próximas etapas