Megosztás a következőn keresztül:


Web Application Firewall-szabályok testreszabása a PowerShell használatával

A Azure Application Gateway Web Application Firewall (WAF) védelmet nyújt a webalkalmazások számára. Ezeket a védelmet az Open Web Application Security Project (OWASP) alapvető szabálykészlete (CRS) biztosítja. Egyes szabályok téves pozitív eredményt okozhatnak, és blokkolhatják a valós forgalmat. Ezért a Application Gateway lehetővé teszi a szabálycsoportok és szabályok testreszabását. Az adott szabálycsoportokkal és szabályokkal kapcsolatos további információkért lásd: Web Application Firewall CRS-szabálycsoportok és -szabályok listája.

Szabálycsoportok és szabályok megtekintése

Az alábbi példakód bemutatja, hogyan tekintheti meg a WAF-kompatibilis Application Gatewayen konfigurálható szabályokat és szabálycsoportokat.

Szabálycsoportok megtekintése

Az alábbi példa bemutatja, hogyan tekintheti meg a szabálycsoportokat:

Get-AzApplicationGatewayAvailableWafRuleSets

Az alábbi kimenet egy csonkolt válasz az előző példából:

OWASP (Ver. 3.0):

    General:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            200004     Possible Multipart Unmatched Boundary.

    REQUEST-911-METHOD-ENFORCEMENT:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            911011     Rule 911011
            911012     Rule 911012
            911100     Method is not allowed by policy
            911013     Rule 911013
            911014     Rule 911014
            911015     Rule 911015
            911016     Rule 911016
            911017     Rule 911017
            911018     Rule 911018

    REQUEST-913-SCANNER-DETECTION:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            913011     Rule 913011
            913012     Rule 913012
            913100     Found User-Agent associated with security scanner
            913110     Found request header associated with security scanner
            913120     Found request filename/argument associated with security scanner
            913013     Rule 913013
            913014     Rule 913014
            913101     Found User-Agent associated with scripting/generic HTTP client
            913102     Found User-Agent associated with web crawler/bot
            913015     Rule 913015
            913016     Rule 913016
            913017     Rule 913017
            913018     Rule 913018

            ...        ...

Szabályok letiltása

Az alábbi példa letiltja a szabályokat 911011 és 911012 az Application Gatewayt:

$disabledrules=New-AzApplicationGatewayFirewallDisabledRuleGroupConfig -RuleGroupName REQUEST-911-METHOD-ENFORCEMENT -Rules 911011,911012
Set-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $gw -Enabled $true -FirewallMode Detection -RuleSetVersion 3.0 -RuleSetType OWASP -DisabledRuleGroups $disabledrules
Set-AzApplicationGateway -ApplicationGateway $gw

Kötelező szabályok

Az alábbi lista olyan feltételeket tartalmaz, amelyek miatt a WAF letiltja a kérést megelőzési módban (észlelési módban kivételként vannak naplózva). Ezek nem konfigurálhatók vagy tilthatók le:

  • A kérelemtörzs elemzésének elmulasztása a kérelem letiltását eredményezi, kivéve, ha a törzsvizsgálat ki van kapcsolva (XML, JSON, űrlapadatok)
  • A kérelemtörzs (fájlok nélkül) adathossza nagyobb, mint a konfigurált korlát
  • A kérelem törzse (a fájlokat is beleértve) nagyobb a korlátnál
  • Belső hiba történt a WAF-motorban

CRS 3.x specifikus:

  • A bejövő anomáliák pontszáma túllépte a küszöbértéket

Következő lépések

A letiltott szabályok konfigurálása után megtudhatja, hogyan tekintheti meg a WAF-naplókat. További információ: Application Gateway Diagnosztika.