Criar políticas de Firewall de Aplicativo Web para o Application Gateway
Associar uma política WAF a ouvintes permite que vários sites por trás de um único WAF sejam protegidos por políticas diferentes. Por exemplo, se houver cinco sites por trás do WAF, você poderá ter cinco políticas WAF separadas (uma para cada ouvinte) para personalizar as exclusões, regras personalizadas e conjuntos de regras gerenciados para um site sem afetar os outros quatro. Se quiser que uma única política se aplique a todos os sites, basta associá-la ao Application Gateway, em vez dos ouvintes individuais, para que ela se aplique globalmente. As políticas também podem ser aplicadas a uma regra de roteamento baseada em caminho.
Você pode fazer quantas políticas quiser. Depois de criar uma política, ela deve ser associada a um Application Gateway para entrar em vigor, mas pode ser associada a qualquer combinação de Application Gateways e ouvintes.
Se o seu Gateway de Aplicativo tiver uma política associada e, em seguida, você associar uma política diferente a um ouvinte nesse Gateway de Aplicativo, a política do ouvinte entrará em vigor, mas apenas para o(s) ouvinte(s) ao qual eles estão atribuídos. A política do Application Gateway ainda se aplica a todos os outros ouvintes que não têm uma política específica atribuída a eles.
Nota
Depois que uma Diretiva de Firewall é associada a um WAF, sempre deve haver uma política associada a esse WAF. Você pode substituir essa política, mas não há suporte para a desassociação total de uma política do WAF.
Todas as novas configurações WAF do Web Application Firewall (regras personalizadas, configurações de conjunto de regras gerenciadas, exclusões, etc.) vivem dentro de uma Política WAF. Se você tiver um WAF existente, essas configurações ainda podem existir na configuração do WAF. Para obter etapas sobre como mover para a nova política WAF, consulte Atualizar sua configuração WAF para uma política WAF mais adiante neste artigo.
As políticas WAF precisam estar no estado habilitado para inspecionar o tráfego de solicitações, registrar eventos e agir sobre solicitações. As políticas WAF no modo de deteção registrarão eventos quando as regras WAF forem acionadas, mas não executarão nenhuma outra ação. As políticas no modo de prevenção tomarão medidas nas solicitações, bem como registrarão o evento nos logs.
Criar uma política
Primeiro, crie uma política WAF básica com um DRS (Conjunto de Regras Padrão) gerenciado usando o portal do Azure.
No canto superior esquerdo do portal, selecione Criar um recurso. Procure WAF, selecione Web Application Firewall e, em seguida, selecione Criar.
Na página Criar uma política WAF, guia Noções básicas , insira ou selecione as seguintes informações e aceite os padrões para as configurações restantes:
Definição Value Política para WAF regional (gateway de aplicativo) Subscrição Selecione o nome da sua subscrição Grupo de recursos selecione o seu grupo de recursos Nome da política Digite um nome exclusivo para sua política WAF. No separador Associação, selecione Adicionar associação e, em seguida, selecione uma das seguintes definições:
Definição Value Gateway de Aplicação Selecione o gateway de aplicativo e, em seguida, selecione Adicionar. Ouvinte HTTP Selecione o gateway de aplicativo, selecione os ouvintes e selecione Adicionar. Caminho da rota Selecione o gateway de aplicativo, selecione o ouvinte, selecione a regra de roteamento e selecione Adicionar. Nota
Se você atribuir uma política ao seu Application Gateway (ou ouvinte) que já tenha uma política em vigor, a política original será substituída e substituída pela nova política.
Selecione Rever + criar e, em seguida, selecione Criar.
Configurar regras WAF (opcional)
Quando você cria uma política WAF, por padrão, ela está no modo de deteção . No modo de deteção, o WAF não bloqueia nenhuma solicitação. Em vez disso, as regras WAF correspondentes são registradas nos logs WAF. Para ver o WAF em ação, você pode alterar as configurações do modo para Prevenção. No modo de Prevenção, as regras correspondentes definidas nos Conjuntos de Regras Gerenciadas da Microsoft selecionados são bloqueadas e/ou registradas nos logs do WAF.
Regras geridas
As regras do OWASP gerenciadas pelo Azure são habilitadas por padrão. Para desabilitar uma regra individual dentro de um grupo de regras, expanda as regras dentro desse grupo de regras, marque a caixa de seleção na frente do número da regra e selecione Desabilitar na guia acima.
Regras personalizadas
Para criar uma regra personalizada, selecione Adicionar regra personalizada na guia Regras personalizadas . Isso abre a página de configuração da regra personalizada. A captura de tela a seguir mostra um exemplo de regra personalizada configurada para bloquear uma solicitação se a cadeia de caracteres de consulta contiver o blockme de texto.
Atualize sua configuração do WAF para uma política do WAF
Se você tem um WAF existente, você pode ter notado algumas mudanças no portal. Primeiro, você precisa identificar que tipo de política você habilitou no seu WAF. Existem três estados potenciais:
- Nenhuma política WAF
- Política apenas de regras personalizadas
- Política WAF
Você pode saber em que estado seu WAF está olhando para ele no portal. Se as configurações do WAF estiverem visíveis e puderem ser alteradas de dentro da exibição do Application Gateway, seu WAF estará no estado 1.
Se você selecionar Web Application Firewall e ele mostrar uma política associada, o WAF estará no estado 2 ou no estado 3. Depois de navegar para a política, se ela mostrar apenas regras personalizadas e Gateways de Aplicativo Associados, será uma Política somente de Regras Personalizadas.
Se ele também mostrar Configurações de Política e Regras Gerenciadas, então é uma política completa do Web Application Firewall.
Atualizar para a política WAF
Se você tiver uma Política WAF somente de Regras Personalizadas, talvez queira mudar para a nova Política WAF. No futuro, a política de firewall suporta configurações de política WAF, conjuntos de regras gerenciados, exclusões e grupos de regras desabilitados. Essencialmente, todas as configurações do WAF que antes eram feitas dentro do Application Gateway agora são feitas por meio da Política WAF.
As edições na regra personalizada somente a política WAF são desabilitadas. Para editar quaisquer configurações do WAF, como desabilitar regras, adicionar exclusões, etc., você precisa atualizar para um novo recurso de política de firewall de nível superior.
Para fazer isso, crie uma Política de Firewall de Aplicativo Web e associe-a ao(s) seu(s) Gateway(s) de Aplicativos e ouvinte(s) de sua escolha. Essa nova Política deve ser exatamente igual à configuração atual do WAF, o que significa que cada regra personalizada, exclusão, regra desabilitada, etc. deve ser copiada para a nova Política que você está criando. Depois de ter uma Política associada ao seu Application Gateway, você poderá continuar a fazer alterações nas regras e configurações do WAF. Você também pode fazer isso com o Azure PowerShell. Para obter mais informações, consulte Associar uma política WAF a um Application Gateway existente.
Opcionalmente, você pode usar um script de migração para atualizar para uma política WAF. Para obter mais informações, consulte Atualizar políticas do Firewall de Aplicativo Web usando o Azure PowerShell.
Modo de força
Se você não quiser copiar tudo em uma política que seja exatamente igual à sua configuração atual, você pode definir o WAF no modo "forçar". Execute o seguinte código do Azure PowerShell para colocar seu WAF no modo de força. Em seguida, você pode associar qualquer Política WAF ao seu WAF, mesmo que ele não tenha exatamente as mesmas configurações que sua configuração.
$appgw = Get-AzApplicationGateway -Name <your Application Gateway name> -ResourceGroupName <your Resource Group name>
$appgw.ForceFirewallPolicyAssociation = $true
Em seguida, prossiga com as etapas para associar uma Política WAF ao seu gateway de aplicativo. Para obter mais informações, consulte Associar uma política WAF a um gateway de aplicativo existente.
Próximos passos
Saiba mais sobre grupos de regras e regras CRS do Web Application Firewall.