Menyesuaikan aturan Web Application Firewall menggunakan Azure CLI
Azure Application Gateway Web Application Firewall (WAF) memberikan perlindungan untuk aplikasi web. Perlindungan ini disediakan oleh Seperangkat Aturan Inti (CRS) pada Open Web Application Security Project. Beberapa aturan dapat menyebabkan positif palsu dan memblokir lalu lintas yang sesungguhnya. Karena alasan ini, Application Gateway menyediakan kemampuan untuk kustomisasi grup aturan dan aturan. Untuk informasi selengkapnya tentang grup aturan dan aturan tertentu, lihat Daftar grup aturan dan aturan CRS Web Application Firewall.
Menampilkan grup aturan dan aturan
Contoh kode berikut menunjukkan cara menampilkan aturan dan grup aturan yang dapat dikonfigurasi.
Menampilkan grup aturan
Contoh berikut ini menunjukkan cara menampilkan grup aturan:
az network application-gateway waf-config list-rule-sets --type OWASP
Output berikut ini adalah respons terpotong dari contoh sebelumnya:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Menampilkan aturan dalam grup aturan
Contoh berikut ini memperlihatkan cara menampilkan aturan dalam grup aturan tertentu:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
Output berikut ini adalah respons terpotong dari contoh sebelumnya:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Menonaktifkan aturan
Contoh berikut ini menonaktifkan aturan910018dan910017 aplikasi gateway:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Aturan wajib
Daftar berikut berisi kondisi yang menyebabkan WAF memblokir permintaan saat berada dalam Mode Pencegahan (dalam Mode Deteksi mereka dicatat sebagai pengecualian). Kondisi ini tidak dapat dikonfigurasi atau dinonaktifkan:
- Kegagalan untuk mengurai isi permintaan mengakibatkan permintaan diblokir, kecuali pemeriksaan isi tersebut dimatikan (XML, JSON, data formulir)
- Permintaan panjang data isi (tanpa file) lebih besar dari batas yang dikonfigurasi
- Permintaan isi (termasuk file) lebih besar dari batas
- Kesalahan internal terjadi pada mesin WAF
CRS 3.x spesifik:
- Ambang batas terlampaui masuk
anomaly score
Langkah berikutnya
Setelah mengonfigurasikan aturan yang dinonaktifkan, Anda dapat mempelajari cara menampilkan log WAF. Untuk info selengkapnya, lihat Diagnostik Application Gateway.