Параметры политики для Брандмауэр веб-приложений в Azure Front Door
Политика брандмауэра веб-приложения (WAF) позволяет управлять доступом к веб-приложениям с помощью набора настраиваемых и управляемых правил. Имя политики WAF должно быть уникальным. При попытке использовать существующее имя появляется ошибка проверки. Несколько параметров уровня политики применяются ко всем правилам, указанным для этой политики, как описано в этой статье.
Состояние WAF
Политика WAF для Azure Front Door имеет одно из следующих двух состояний:
- Включен: Если политика включена, WAF активно проверяет входящие запросы и выполняет соответствующие действия в соответствии с определениями правил.
- Отключен: Если политика отключена, проверка WAF приостанавливается. Входящие запросы обходят WAF и отправляются в серверную часть на основе маршрутизации Azure Front Door.
Режимы WAF
Вы можете настроить политику WAF для запуска в следующих двух режимах:
- Режим обнаружения. При выполнении в режиме обнаружения WAF не выполняет никаких действий, кроме отслеживания и регистрации запроса и соответствующего правила WAF в журналах WAF. Включите диагностика ведения журнала для Azure Front Door при использовании портал Azure. (Перейдите в раздел Диагностика в портал Azure.)
- Режим предотвращения. Если WAF настроен для запуска в режиме предотвращения, WAF выполняет указанное действие, если запрос соответствует правилу. Все запросы, для которых обнаружены совпадающие правила, также регистрируются в журналах WAF.
Ответ WAF для заблокированных запросов
По умолчанию, когда WAF блокирует запрос из-за соответствующего правила, он возвращает код состояния 403 с сообщением "Запрос заблокирован". Строка ссылки также возвращается для ведения журнала.
Вы можете определить пользовательский код состояния ответа и ответное сообщение, когда WAF блокирует запрос. Поддерживаются следующие пользовательские коды состояния.
- 200 ОК
- 403. Запрещено
- 405 — метод запрещен
- 406 — неприемлемо
- 429 — слишком много запросов
Пользовательский код состояния ответа с ответным сообщением является параметром уровня политики. После настройки все заблокированные запросы получают одно и то же пользовательское состояние ответа и ответное сообщение.
URI для действия перенаправления
Необходимо определить универсальный код ресурса (URI) для перенаправления запросов, если REDIRECT
действие выбрано для любого из правил, содержащихся в политике WAF. Этот URI перенаправления должен быть допустимым сайтом HTTP(S). После настройки все запросы, соответствующие правилам с действием REDIRECT
, перенаправляются на указанный сайт.
Дальнейшие действия
Узнайте, как определить пользовательские ответы WAF.