Web 应用程序防火墙(WAF)策略允许你通过一组自定义和托管规则来控制对 Web 应用程序的访问。 WAF 策略名称必须是唯一的。 如果尝试使用现有名称,则会收到验证错误。 多个策略级别设置适用于为该策略指定的所有规则,如本文所述。
WAF 状态
Azure Front Door 的 WAF 策略具有以下两种状态之一:
- 启用: 启用策略后,WAF 会主动检查传入的请求,并根据规则定义执行相应的作。
- 禁用: 禁用策略后,WAF 检查将暂停。 传入请求绕过 WAF,并根据 Azure Front Door 路由发送到后端。
WAF 模式
可以将 WAF 策略配置为在以下两种模式下运行:
- 检测模式:在检测模式下运行时,WAF 不会执行除监视和记录请求及其匹配 WAF 规则以外的任何作。 使用 Azure 门户时,请为 Azure Front Door 启用日志记录诊断。 (转到 Azure 门户中的 “诊断 ”部分。
- 防护模式:当 WAF 配置为在预防模式下运行时,如果请求与规则匹配,WAF 将执行指定的作。 任何匹配的请求也会记录在 WAF 日志中。
已阻止请求的 WAF 响应
默认情况下,当 WAF 由于匹配的规则而阻止请求时,它将返回一个 403 状态代码,其中包含消息“请求被阻止”。还会返回用于日志记录的引用字符串。
当 WAF 阻止请求时,可以定义自定义响应状态代码和响应消息。 支持以下自定义状态代码:
- 200 正常
- 403 禁止
- 不允许使用 405 方法
- 406 不可接受
- 429 请求过多
具有响应消息的自定义响应状态代码是策略级设置。 配置后,所有阻止的请求都会获得相同的自定义响应状态和响应消息。
重定向作的 URI
需要定义 URI,以便在为 WAF 策略中包含的任何规则选择作时 REDIRECT 重定向请求。 此重定向 URI 必须是有效的 HTTP(S) 站点。 配置后,所有与 REDIRECT 作匹配规则的请求都会重定向到指定的站点。
后续步骤
了解如何定义 WAF 自定义响应。