Application Gateway için Web Uygulaması Güvenlik Duvarı ilkeleri oluşturma
Bir WAF ilkesini dinleyicilerle ilişkilendirmek, tek bir WAF'nin arkasındaki birden çok sitenin farklı ilkeler tarafından korunmasını sağlar. Örneğin WAF'nizin arkasında beş site varsa, bir sitenin dışlamalarını, özel kurallarını ve yönetilen kural kümelerini diğer dört siteyi etkilemeden özelleştirmek için beş ayrı WAF ilkeniz (her dinleyici için bir tane) olabilir. Tek bir ilkenin tüm sitelere uygulanmasını istiyorsanız, ilkeyi tek tek dinleyiciler yerine Application Gateway ile ilişkilendirerek genel olarak uygulanmasını sağlayabilirsiniz. İlkeler yol tabanlı yönlendirme kuralına da uygulanabilir.
İstediğiniz kadar ilke oluşturabilirsiniz. İlkeyi oluşturduktan sonra, uygulamanın etkili olması için bir Application Gateway ile ilişkilendirilmesi gerekir, ancak Application Gateway'ler ve dinleyicilerin herhangi bir bileşimiyle ilişkilendirilebilir.
Application Gateway'inizin ilişkili bir ilkesi varsa ve sonra bu Application Gateway'de bir dinleyiciyle farklı bir ilke ilişkilendirirseniz, dinleyicinin ilkesi geçerli olur, ancak yalnızca atandıkları dinleyiciler için geçerli olur. Application Gateway ilkesi, kendilerine belirli bir ilke atanmamış diğer tüm dinleyiciler için de geçerlidir.
Not
Güvenlik Duvarı İlkesi bir WAF ile ilişkilendirildikten sonra, her zaman bu WAF ile ilişkilendirilmiş bir ilke olmalıdır. Bu ilkenin üzerine yazabilirsiniz, ancak bir ilkenin WAF'den tamamen ayrılma işlemi desteklenmez.
Tüm yeni Web Uygulaması Güvenlik Duvarı WAF ayarları (özel kurallar, yönetilen kural kümesi yapılandırmaları, dışlamalar vb.) bir WAF İlkesi içinde canlı olarak bulunur. Mevcut bir WAF'niz varsa, bu ayarlar WAF yapılandırmanızda hala mevcut olabilir. Yeni WAF İlkesi'ne geçme adımları için bu makalenin devamında WAF Yapılandırmanızı WAF İlkesine yükseltme bölümüne bakın.
İSTEK trafiğini incelemek, olayları günlüğe kaydetmek ve istekler üzerinde eylemde bulunmak için WAF ilkelerinin etkin durumda olması gerekir. Algılama modundaki WAF ilkeleri WAF kuralları tetiklendiğinde olayları günlüğe kaydeder ancak başka bir işlem yapmaz. Önleme modundaki ilkeler istekler üzerinde işlem gerçekleştirir ve olayı günlüklerde günlüğe kaydeder.
Bir ilke oluşturun
İlk olarak, Azure portalını kullanarak yönetilen Varsayılan Kural Kümesi (DRS) ile temel bir WAF ilkesi oluşturun.
Portalın sol üst tarafında Kaynak oluştur'u seçin. WAF araması yapın, Web Uygulaması Güvenlik Duvarı'ı ve ardından Oluştur'u seçin.
WAF ilkesi oluştur sayfasında Temel Bilgiler sekmesinde, aşağıdaki bilgileri girin veya seçin ve kalan ayarlar için varsayılan değerleri kabul edin:
Ayar Value İlke: Bölgesel WAF (Application Gateway) Abonelik Abonelik adınızı seçin Kaynak grubu Kaynak grubunuzu seçin İlke adı WAF ilkeniz için benzersiz bir ad yazın. İlişkilendirme sekmesinde İlişki ekle'yi ve ardından aşağıdaki ayarlardan birini seçin:
Ayar Value Application Gateway Uygulama ağ geçidini ve ardından Ekle'yi seçin. HTTP Dinleyicisi Uygulama ağ geçidini seçin, dinleyicileri ve ardından Ekle'yi seçin. Yol Yolu Uygulama ağ geçidini seçin, dinleyiciyi seçin, yönlendirme kuralını ve ardından Ekle'yi seçin. Not
Application Gateway'inize (veya dinleyicinize) zaten bir ilke uygulanmış bir ilke atarsanız, özgün ilkenin üzerine yazılır ve yeni ilkeyle değiştirilir.
Gözden Geçir + oluştur’u ve sonra da Oluştur’u seçin.
WAF kurallarını yapılandırma (isteğe bağlı)
WAF ilkesi oluşturduğunuzda, varsayılan olarak Algılama modundadır. Algılama modunda WAF hiçbir isteği engellemez. Bunun yerine, eşleşen WAF kuralları WAF günlüklerine kaydedilir. WAF'yi uygulamada görmek için mod ayarlarını Önleme olarak değiştirebilirsiniz. Önleme modunda, seçtiğiniz Microsoft Yönetilen Kural kümelerinde tanımlanan eşleştirme kuralları engellenir ve/veya WAF günlüklerinde günlüğe kaydedilir.
Yönetilen kurallar
Azure tarafından yönetilen OWASP kuralları varsayılan olarak etkinleştirilir. Kural grubu içindeki tek bir kuralı devre dışı bırakmak için, kural grubu içindeki kuralları genişletin, kural numarasının önündeki onay kutusunu seçin ve yukarıdaki sekmede Devre dışı bırak'ı seçin.
Özel kurallar
Özel kural oluşturmak için Özel kurallar sekmesinin altında Özel kural ekle'yi seçin. Bu, özel kural yapılandırma sayfasını açar. Aşağıdaki ekran görüntüsünde, sorgu dizesi blockme metnini içeriyorsa isteği engellemek için yapılandırılmış örnek bir özel kural gösterilmektedir.
WAF Yapılandırmanızı WAF İlkesine yükseltme
Mevcut bir WAF'niz varsa portalda bazı değişiklikler fark etmiş olabilirsiniz. İlk olarak WAF'nizde ne tür bir İlke etkinleştirdiğiniz belirlemeniz gerekir. Üç olası durum vardır:
- WAF İlkesi Yok
- Yalnızca Özel Kurallar İlkesi
- WAF İlkesi
WAF'nizin hangi durumda olduğunu portaldan bakarak anlayabilirsiniz. WAF ayarları görünür durumdaysa ve Application Gateway görünümünden değiştirilebilirse WAF'niz 1 durumundadır.
Web Uygulaması Güvenlik Duvarı seçerseniz ve ilişkili bir ilke gösterirse WAF 2. veya 3. durumdadır. İlkeye gittikten sonra, yalnızca özel kurallar ve İlişkili Application Gateway'ler gösteriyorsa, bu yalnızca özel kurallar ilkesidir.
ayrıca İlke Ayarları ve Yönetilen Kurallar'ı da gösteriyorsa, tam bir Web Uygulaması Güvenlik Duvarı ilkesidir.
WAF İlkesine Yükseltin
Yalnızca Özel Kurallar WAF İlkesiniz varsa yeni WAF İlkesi'ne geçmek isteyebilirsiniz. Bundan sonra güvenlik duvarı ilkesi WAF ilke ayarlarını, yönetilen kural kümelerini, dışlamaları ve devre dışı bırakılmış kural gruplarını destekler. Temel olarak, application gateway içinde daha önce yapılan tüm WAF yapılandırmaları artık WAF İlkesi aracılığıyla yapılır.
Özel kuralda yapılan düzenlemeler yalnızca WAF ilkesi devre dışı bırakılır. Kuralları devre dışı bırakma, dışlama ekleme gibi WAF ayarlarını düzenlemek için yeni bir üst düzey güvenlik duvarı ilkesi kaynağına yükseltmeniz gerekir.
Bunu yapmak için bir Web Uygulaması Güvenlik Duvarı İlkesi oluşturun ve bunu istediğiniz Application Gateway(ler) ve dinleyicilerinizle ilişkilendirin. Bu yeni İlke, geçerli WAF yapılandırmasıyla tamamen aynı olmalıdır; yani her özel kural, dışlama, devre dışı bırakılan kural vb. oluşturmakta olduğunuz yeni İlkeye kopyalanmalıdır. Application Gateway'inizle ilişkilendirilmiş bir İlkeniz olduğunda WAF kurallarınızda ve ayarlarınızda değişiklik yapmaya devam edebilirsiniz. Bunu Azure PowerShell ile de yapabilirsiniz. Daha fazla bilgi için bkz . WaF ilkesini mevcut bir Application Gateway ile ilişkilendirme.
İsteğe bağlı olarak, waf ilkesine yükseltmek için bir geçiş betiği kullanabilirsiniz. Daha fazla bilgi için bkz. Azure PowerShell kullanarak Web Uygulaması Güvenlik Duvarı ilkelerini yükseltme.
Zorlama modu
Her şeyi geçerli yapılandırmanızla tam olarak aynı olan bir ilkeye kopyalamak istemiyorsanız WAF'yi "zorlama" moduna ayarlayabilirsiniz. WAF'nizi zorlama moduna almak için aşağıdaki Azure PowerShell kodunu çalıştırın. Ardından, yapılandırmanızla tam olarak aynı ayarlara sahip olmasa bile herhangi bir WAF İlkesini WAF'nizle ilişkilendirebilirsiniz.
$appgw = Get-AzApplicationGateway -Name <your Application Gateway name> -ResourceGroupName <your Resource Group name>
$appgw.ForceFirewallPolicyAssociation = $true
Ardından waf ilkesini uygulama ağ geçidinizle ilişkilendirme adımlarıyla devam edin. Daha fazla bilgi için bkz . WaF İlkesini mevcut bir Application Gateway ile ilişkilendirme.
Sonraki adımlar
WEB UYGULAMASı GÜVENLIK DUVARı CRS kural grupları ve kuralları hakkında daha fazla bilgi edinin.