Descrição geral da política da Firewall de Aplicações Web (WAF) do Azure
As Políticas do Web Application Firewall contêm todas as definições e configurações do WAF. Isso inclui exclusões, regras personalizadas, regras gerenciadas e assim por diante. Essas políticas são então associadas a um gateway de aplicativo (global), a um ouvinte (por site) ou a uma regra baseada em caminho (por URI) para que entrem em vigor.
Não há limite para o número de políticas que você pode criar. Quando você cria uma política, ela deve ser associada a um gateway de aplicativo para entrar em vigor. Ele pode ser associado a qualquer combinação de gateways de aplicativos, ouvintes e regras baseadas em caminhos.
Nota
O Application Gateway tem duas versões do sku WAF: Application Gateway WAF_v1 e Application Gateway WAF_v2. As associações de política WAF são suportadas apenas para o Application Gateway WAF_v2 sku.
Política global do WAF
Quando você associa uma política WAF globalmente, todos os sites por trás do WAF do Application Gateway são protegidos com as mesmas regras gerenciadas, regras personalizadas, exclusões e quaisquer outras configurações configuradas.
Se desejar que uma única política seja aplicada a todos os sites, você poderá associá-la ao gateway de aplicativo. Para obter mais informações, consulte Criar políticas de firewall de aplicativo Web para o Application Gateway para criar e aplicar uma política WAF usando o portal do Azure.
Política WAF por site
Com as políticas WAF por site, pode proteger vários sites com diferentes necessidades de segurança por trás de uma única WAF ao utilizar as políticas por site. Por exemplo, se existirem cinco sites por trás da WAF, poderá ter cinco políticas WAF separadas (uma para cada serviço de escuta) para personalizar as exclusões, as regras personalizadas, os conjuntos de regras geridos e todas as outras definições de WAF para cada site.
Digamos que o gateway de aplicação tem uma política global aplicada. Em seguida, aplica uma política diferente a um serviço de escuta no gateway de aplicação. A política do serviço de escuta é agora aplicada apenas a esse serviço de escuta. A política global do gateway de aplicação ainda se aplica a todos os outros serviços de escuta e às regras baseadas em caminhos que não têm nenhuma política específica atribuída.
Política por URI
Para obter ainda mais personalização até o nível de URI, você pode associar uma política WAF a uma regra baseada em caminho. Se houver determinadas páginas em um único site que exijam políticas diferentes, você poderá fazer alterações na política WAF que afetem apenas um determinado URI. Isso pode se aplicar a uma página de pagamento ou login, ou a quaisquer outros URIs que precisem de uma política WAF ainda mais específica do que os outros sites por trás do WAF.
Tal como acontece com as políticas WAF por site, as políticas mais específicas substituem as menos específicas. Isso significa que uma política por URI em um mapa de caminho de URL substitui qualquer política WAF global ou por site acima dela.
Exemplo
Digamos que você tenha três sites: contoso.com, fabrikam.com e adatum.com todos atrás do mesmo gateway de aplicativo. Você quer um WAF aplicado a todos os três sites, mas precisa de segurança adicional com adatum.com porque é onde os clientes visitam, navegam e compram produtos.
Você pode aplicar uma política global ao WAF, com algumas configurações básicas, exclusões ou regras personalizadas, se necessário, para impedir que alguns falsos positivos bloqueiem o tráfego. Nesse caso, não há necessidade de ter regras globais de injeção de SQL em execução porque fabrikam.com e contoso.com são páginas estáticas sem back-end SQL. Portanto, você pode desativar essas regras na política global.
Essa política global é adequada para contoso.com e fabrikam.com, mas você precisa ter mais cuidado com adatum.com onde as informações de login e os pagamentos são tratados. Você pode aplicar uma política por site ao ouvinte adatum e deixar as regras SQL em execução. Suponha também que há um cookie bloqueando algum tráfego, para que você possa criar uma exclusão para esse cookie para parar o falso positivo.
O URI adatum.com/payments é onde você precisa ter cuidado. Portanto, aplique outra política nesse URI e deixe todas as regras habilitadas e também remova todas as exclusões.
Neste exemplo, você tem uma política global que se aplica a dois sites. Você tem uma política por site que se aplica a um site e, em seguida, uma política por URI que se aplica a uma regra específica baseada em caminho. Consulte Configurar políticas WAF por site usando o Azure PowerShell para obter o PowerShell correspondente para este exemplo.
Configurações WAF existentes
Todas as novas configurações WAF do Web Application Firewall (regras personalizadas, configurações de conjunto de regras gerenciadas, exclusões e assim por diante.) existem em uma política WAF. Se você tiver um WAF existente, essas configurações ainda podem existir na configuração do WAF. Para obter mais informações sobre como migrar para a nova política WAF, migre a configuração do WAF para uma política do WAF.