Přizpůsobení pravidel Web Application Firewall pomocí PowerShellu
Azure Application Gateway Web Application Firewall (WAF) poskytuje ochranu webovým aplikacím. Tyto ochrany poskytuje základní sada pravidel CRS (Open Web Application Security Project) (OWASP). Některá pravidla můžou způsobit falešně pozitivní výsledky a blokovat skutečný provoz. Z tohoto důvodu Application Gateway poskytuje možnost přizpůsobit skupiny pravidel a pravidla. Další informace o konkrétních skupinách a pravidlech pravidel najdete v tématu Seznam Web Application Firewall skupin a pravidel pravidel pravidel CRS.
Zobrazení skupin pravidel a pravidel
Následující příklady kódu ukazují, jak zobrazit pravidla a skupiny pravidel, které lze konfigurovat v aplikační bráně s podporou WAF.
Zobrazení skupin pravidel
Následující příklad ukazuje, jak zobrazit skupiny pravidel:
Get-AzApplicationGatewayAvailableWafRuleSets
Následující výstup je zkrácená odpověď z předchozího příkladu:
OWASP (Ver. 3.0):
General:
Description:
Rules:
RuleId Description
------ -----------
200004 Possible Multipart Unmatched Boundary.
REQUEST-911-METHOD-ENFORCEMENT:
Description:
Rules:
RuleId Description
------ -----------
911011 Rule 911011
911012 Rule 911012
911100 Method is not allowed by policy
911013 Rule 911013
911014 Rule 911014
911015 Rule 911015
911016 Rule 911016
911017 Rule 911017
911018 Rule 911018
REQUEST-913-SCANNER-DETECTION:
Description:
Rules:
RuleId Description
------ -----------
913011 Rule 913011
913012 Rule 913012
913100 Found User-Agent associated with security scanner
913110 Found request header associated with security scanner
913120 Found request filename/argument associated with security scanner
913013 Rule 913013
913014 Rule 913014
913101 Found User-Agent associated with scripting/generic HTTP client
913102 Found User-Agent associated with web crawler/bot
913015 Rule 913015
913016 Rule 913016
913017 Rule 913017
913018 Rule 913018
... ...
Zakázání pravidel
Následující příklad zakáže pravidla 911011
a 911012
ve službě Application Gateway:
$disabledrules=New-AzApplicationGatewayFirewallDisabledRuleGroupConfig -RuleGroupName REQUEST-911-METHOD-ENFORCEMENT -Rules 911011,911012
Set-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $gw -Enabled $true -FirewallMode Detection -RuleSetVersion 3.0 -RuleSetType OWASP -DisabledRuleGroups $disabledrules
Set-AzApplicationGateway -ApplicationGateway $gw
Povinná pravidla
Následující seznam obsahuje podmínky, které způsobí, že WAF zablokuje požadavek v režimu prevence (v režimu detekce se protokolují jako výjimky). Tyto možnosti se nedají nakonfigurovat ani zakázat:
- Při selhání analýzy textu požadavku dojde k zablokování požadavku, pokud není vypnutá kontrola textu (XML, JSON, data formuláře).
- Délka dat textu požadavku (bez souborů) je větší než nakonfigurovaný limit.
- Text požadavku (včetně souborů) je větší než limit.
- V modulu WAF došlo k vnitřní chybě.
Specifické pro CRS 3.x:
- Skóre příchozích anomálií překročilo prahovou hodnotu
Další kroky
Po konfiguraci zakázaných pravidel se dozvíte, jak zobrazit protokoly WAF. Další informace najdete v tématu diagnostika Application Gateway.