Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Firewall webových aplikací (WAF) služby Azure Application Gateway poskytuje ochranu pro webové aplikace. Tyto ochrany poskytuje základní sada pravidel CRS (Open Web Application Security Project) (OWASP). Některá pravidla můžou způsobit falešně pozitivní výsledky a blokovat skutečný provoz. Z tohoto důvodu poskytuje Služba Application Gateway možnost přizpůsobit skupiny pravidel a pravidla. Další informace o konkrétních skupinách a pravidlech pravidel naleznete v tématu Seznam skupin a pravidel CRS firewallu webových aplikací.
Zobrazení skupin pravidel a pravidel
Následující příklady kódu ukazují, jak zobrazit pravidla a skupiny pravidel, které lze konfigurovat.
Zobrazení skupin pravidel
Následující příklad ukazuje, jak zobrazit skupiny pravidel:
az network application-gateway waf-config list-rule-sets --type OWASP
Následující výstup je zkrácená odpověď z předchozího příkladu:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Zobrazení pravidel ve skupině pravidel
Následující příklad ukazuje, jak zobrazit pravidla v zadané skupině pravidel:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
Následující výstup je zkrácená odpověď z předchozího příkladu:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Zakázání pravidel
Následující příklad zakáže pravidla 910018 a 910017 na aplikační bráně:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Povinná pravidla
Následující seznam obsahuje podmínky, které způsobí, že WAF zablokuje požadavek v režimu prevence (v režimu detekce jsou zaprotokolovány jako výjimky). Tyto podmínky není možné konfigurovat ani zakázat:
- Pokud se nepodaří analyzovat tělo požadavku, dojde k zablokování požadavku, pokud není vypnuta kontrola těla (XML, JSON, data formuláře).
- Délka dat těla požadavku (bez souborů) je delší než nakonfigurovaný limit.
- Text požadavku (včetně souborů) je větší než limit.
- V modulu WAF došlo k vnitřní chybě.
Specifické pro CRS 3.x:
- Příchozí
anomaly scorepřekročilo prahovou hodnotu
Další kroky
Po nakonfigurování zakázaných pravidel se dozvíte, jak zobrazit protokoly WAF. Další informace najdete v tématu Diagnostika služby Application Gateway.