Anpassen von Web Application Firewall-Regeln mit der Azure CLI
Die Web Application Firewall (WAF) von Azure Application Gateway bietet Schutz für Webanwendungen. Diese Schutzmaßnahmen werden durch die Kernregeln (Core Rule Set, CRS) des Open Web Application Security-Projekts (OWASP) bereitgestellt. Einige Regeln können falsche positive Ergebnisse ausgeben und den realen Datenverkehr blockieren. Aus diesem Grund bietet Application Gateway die Möglichkeit, Regelgruppen und Regeln anzupassen. Weitere Informationen zu den jeweiligen Regelgruppen und Regeln finden Sie in der Liste der CRS-Regelgruppen und -Regeln von Web Application Firewall.
Anzeigen von Regelgruppen und Regeln
Der folgende Code veranschaulicht, wie konfigurierbare Regeln und Regelgruppen angezeigt werden.
Anzeigen von Regelgruppen
Das folgende Beispiel zeigt, wie Regelgruppen angezeigt werden:
az network application-gateway waf-config list-rule-sets --type OWASP
Die folgende Ausgabe ist eine abgeschnittene Antwort aus dem vorherigen Beispiel:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Anzeigen von Regeln in einer Regelgruppe
Das folgende Beispiel zeigt, wie Regeln in einer angegebenen Regelgruppe angezeigt werden:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
Die folgende Ausgabe ist eine abgeschnittene Antwort aus dem vorherigen Beispiel:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Deaktivieren von Regeln
Das folgende Beispiel deaktiviert die Regeln 910018 und 910017 für ein Anwendungsgateway:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Obligatorische Regeln
Die folgende Liste enthält die Bedingungen, die dazu führen, dass WAF die Anforderung im Präventionsmodus blockiert. (Im Erkennungsmodus werden sie als Ausnahmen protokolliert.) Diese Bedingungen können nicht konfiguriert oder deaktiviert werden:
- Fehler beim Analysieren des Anforderungstexts führen dazu, dass die Anforderung blockiert wird, sofern die Textüberprüfung nicht deaktiviert ist (XML, JSON, Formulardaten).
- Die Datenlänge des Anforderungstexts (ohne Dateien) überschreitet das konfigurierte Limit.
- Der Anforderungstext (einschließlich Dateien) überschreitet den Grenzwert.
- Ein interner Fehler ist in der WAF-Engine aufgetreten.
CRS 3.x-spezifisch:
anomaly scorefür Eingang überschritt den Schwellenwert.
Nächste Schritte
Nach dem Konfigurieren Ihrer deaktivierten Regeln können Sie sich darüber informieren, wie Sie WAF-Protokolle anzeigen. Weitere Informationen finden Sie unter Application Gateway-Diagnose.