通过

Azure Web 应用程序防火墙和 Azure Policy

与 Azure Policy 结合使用的 Azure Web 应用程序防火墙(WAF)可以帮助强制实施组织标准,并评估 WAF 资源的大规模合规性。 Azure Policy 是一种治理工具,提供聚合视图来评估环境的总体状态,并能够向下钻取到每个资源、每个策略粒度。 Azure Policy 还有助于通过对现有资源的批量修正和对新资源的自动修正,使资源符合性。

适用于 Web 应用程序防火墙的 Azure Policy

有多个内置 Azure Policy 定义来管理 WAF 资源。 策略定义及其功能的细分如下:

启用 Web 应用程序防火墙(WAF)

  • 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙:如果存在 WAF,则评估 Azure Front Door 服务。 策略定义具有三个效果:审核、拒绝和禁用。 审核 Azure Front Door 服务何时没有 WAF,并允许用户查看 Azure Front Door 服务不符合的内容。 如果未附加 WAF,则拒绝阻止创建任何 Azure Front Door 服务。 已禁用关闭策略分配。

  • 应为应用程序网关启用 Web 应用程序防火墙(WAF):如果资源创建时存在 WAF,则评估应用程序网关。 策略定义具有三个效果:审核、拒绝和禁用。 审核跟踪应用程序网关何时没有 WAF,并允许用户查看应用程序网关不符合的内容。 如果未附加 WAF,则拒绝阻止创建任何应用程序网关。 已禁用关闭策略分配。

强制检测或预防模式

  • Web 应用程序防火墙(WAF)应使用 Azure Front Door 服务的指定模式:要求对 Azure Front Door 服务的所有 Web 应用程序防火墙策略使用“检测”或“防护”模式处于活动状态。 策略定义具有三个效果:审核、拒绝和禁用。 审核跟踪 WAF 何时不适合指定的模式。 如果 WAF 未处于正确的模式,则拒绝会阻止创建任何 WAF。 已禁用关闭策略分配。

  • Web 应用程序防火墙(WAF)应使用应用程序网关的指定模式:强制对应用程序网关的所有 Web 应用程序防火墙策略使用“检测”或“阻止”模式。 策略定义具有三个效果:审核、拒绝和禁用。 审核跟踪 WAF 何时不适合指定的模式。 如果 WAF 未处于正确的模式,则拒绝会阻止创建任何 WAF。 已禁用关闭策略分配。

需要请求检查

  • Azure Front Door 上的 Azure Web 应用程序防火墙应启用请求正文检查:确保与 Azure Front Door 关联的 Web 应用程序防火墙已启用请求正文检查。 此功能允许 WAF 检查 HTTP 正文中可能未在 HTTP 标头、Cookie 或 URI 中评估的属性。

  • Azure 应用程序网关上的 Azure Web 应用程序防火墙应启用请求正文检查:确保与 Azure 应用程序网关关联的 Web 应用程序防火墙已启用请求正文检查。 此功能允许 WAF 检查 HTTP 正文中可能未在 HTTP 标头、Cookie 或 URI 中评估的属性。

需要资源日志

  • Azure Front Door 标准版或高级版(加上 WAF)应启用资源日志:强制在 Azure Front Door 标准和高级服务(包括 WAF)上启用资源日志和指标。 策略定义有两个效果:AuditIfNotExists 和 Disable。 AuditIfNotExists 跟踪 Front Door 服务没有资源日志、启用指标并通知用户该服务不符合。 已禁用关闭策略分配。

  • Azure 应用程序网关应启用资源日志:要求在所有应用程序网关(包括 WAF)上启用资源日志和指标。 策略定义有两个效果:AuditIfNotExists 和 Disable。 AuditIfNotExists 跟踪应用程序网关何时没有资源日志、启用指标并通知用户应用程序网关不符合。 已禁用关闭策略分配。

  • Azure Front Door 配置文件应使用支持托管 WAF 规则和专用链接的高级层:要求所有 Azure Front Door 配置文件都位于高级层而不是标准层上。 Azure Front Door Premium 针对安全性进行优化,可让你访问最新的 WAF 规则集和功能,例如机器人保护。

  • 启用速率限制规则以防止 Azure Front Door WAF 上的 DDoS 攻击:速率限制可以帮助保护应用程序免受 DDoS 攻击。 Azure Front Door 的 Azure Web 应用程序防火墙(WAF)速率限制规则通过控制速率限制期间允许从特定客户端 IP 地址到应用程序的请求数,帮助防止 DDoS。

  • WAF 从 WAF 配置迁移到应用程序网关上的 WAF 策略:如果有 WAF 配置而不是 WAF 策略,则可能需要移动到新的 WAF 策略。 Web 应用程序防火墙(WAF)策略通过 WAF 配置提供更丰富的高级功能集,提供更高的规模、更好的性能,与旧式 WAF 配置不同,可以定义一次 WAF 策略,并在多个网关、侦听器和 URL 路径之间共享。 今后,最新的功能和未来的增强功能只能通过 WAF 策略使用。

创建 Azure Policy

  1. 在 Azure 主页上,在搜索栏中键入“策略”,然后选择“Azure Policy”图标。

  2. 在 Azure Policy 服务的 “创作”下,选择“ 分配”。

  3. 在“分配”页上,选择顶部的 “分配策略 ”图标。

  4. 在“分配策略”页的“基本信息”选项卡上,更新以下字段:

    1. 范围:选择策略应用到的 Azure 订阅和资源组。
    2. 排除项:从范围中选择要从策略分配中排除的任何资源。
    3. 策略定义:选择要应用于包含排除项的范围的策略定义。 在搜索栏中键入“Web 应用程序防火墙”,选择相关的 Web 应用程序防火墙 Azure Policy。

显示“可用定义”页上的“策略定义”选项卡的屏幕截图。

  1. 选择“ 参数 ”选项卡并更新策略分配参数。 若要进一步阐明参数的作用,请将鼠标悬停在参数名称旁边的信息图标上,以便进一步澄清。

  2. 选择 “查看 + 创建 ”以完成策略分配。 策略分配大约需要 15 分钟,直到新资源处于活动状态。