Creare e usare regole personalizzate di Web application firewall v2 nel gateway applicazione
Web Application Firewall (WAF) v2 in app Azure lication Gateway fornisce protezione per le applicazioni Web. Questa protezione viene fornita dal set di regole di base OWASP (Open Web Application Security Project) .This protection is provided by the Open Web Application Security Project (OWASP) Core Rule Set (CRS). In alcuni casi, potrebbe essere necessario creare regole personalizzate per soddisfare esigenze specifiche. Per altre informazioni sulle regole personalizzate waf, vedere Panoramica delle regole del web application firewall personalizzato.
Questo articolo illustra alcune regole personalizzate di esempio che è possibile creare e usare con waf v2. Per informazioni su come distribuire un WAF con una regola personalizzata con Azure PowerShell, vedere Configurare regole personalizzate di Web Application Firewall con Azure PowerShell.
I frammenti JSON illustrati in questo articolo sono derivati da una risorsa ApplicationGatewayWebApplicationFirewallPolicies .
Nota
Se il gateway applicazione non sta usando il livello WAF, l'opzione per aggiornare il gateway applicazione al livello WAF, come visualizzato nel riquadro a destra.
Esempio 1
Sai che c'è un bot denominato evilbot che vuoi bloccare la ricerca per indicizzazione del tuo sito Web. In questo caso, si blocca in User-Agent evilbot nelle intestazioni della richiesta.
Logica: p
$variable = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RequestHeaders `
-Selector User-Agent
$condition = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable `
-Operator Contains `
-MatchValue "evilbot" `
-Transform Lowercase `
-NegationCondition $False
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name blockEvilBot `
-Priority 2 `
-RuleType MatchRule `
-MatchCondition $condition `
-Action Block `
-State Enabled
Di seguito è riportato il codice JSON corrispondente:
{
"customRules": [
{
"name": "blockEvilBot",
"priority": 2,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RequestHeaders",
"selector": "User-Agent"
}
],
"operator": "Contains",
"negationConditon": false,
"matchValues": [
"evilbot"
],
"transforms": [
"Lowercase"
]
}
]
}
]
}
Per visualizzare un WAF distribuito usando questa regola personalizzata, vedere Configurare una regola personalizzata di Web Application Firewall con Azure PowerShell.
Esempio 1a
È possibile eseguire la stessa operazione usando un'espressione regolare:
$variable = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RequestHeaders `
-Selector User-Agent
$condition = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable `
-Operator Regex `
-MatchValue "evilbot" `
-Transform Lowercase `
-NegationCondition $False
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name blockEvilBot `
-Priority 2 `
-RuleType MatchRule `
-MatchCondition $condition `
-Action Block `
-State Enabled
E il codice JSON corrispondente:
{
"customRules": [
{
"name": "blockEvilBot",
"priority": 2,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RequestHeaders",
"selector": "User-Agent"
}
],
"operator": "Regex",
"negationConditon": false,
"matchValues": [
"evilbot"
],
"transforms": [
"Lowercase"
]
}
]
}
]
}
Esempio 2
Si vuole consentire il traffico solo dal Stati Uniti usando l'operatore GeoMatch e applicare le regole gestite:
$variable = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RemoteAddr `
$condition = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable `
-Operator GeoMatch `
-MatchValue "US" `
-Transform Lowercase `
-NegationCondition $True
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name "allowUS" `
-Priority 2 `
-RuleType MatchRule `
-MatchCondition $condition `
-Action Block `
-State Enabled
E il codice JSON corrispondente:
{
"customRules": [
{
"name": "allowUS",
"priority": 2,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RemoteAddr"
}
],
"operator": "GeoMatch",
"negationConditon": true,
"matchValues": [
"US"
],
"transforms": [
"Lowercase"
]
}
]
}
]
}
Esempio 3
Si desidera bloccare tutte le richieste dagli indirizzi IP nell'intervallo 198.168.5.0/24.
In questo esempio si blocca tutto il traffico proveniente da un intervallo di indirizzi IP. Il nome della regola è myrule1 e la priorità è impostata su 10.
Logica: p
$variable1 = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RemoteAddr
$condition1 = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable1 `
-Operator IPMatch `
-MatchValue "192.168.5.0/24" `
-NegationCondition $False
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name myrule1 `
-Priority 10 `
-RuleType MatchRule `
-MatchCondition $condition1 `
-Action Block `
-State Enabled
Ecco il codice JSON corrispondente:
{
"customRules": [
{
"name": "myrule1",
"priority": 10,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RemoteAddr"
}
],
"operator": "IPMatch",
"negationConditon": false,
"matchValues": [
"192.168.5.0/24"
],
"transforms": []
}
]
}
]
}
Regola CRS corrispondente: SecRule REMOTE_ADDR "@ipMatch 192.168.5.0/24" "id:7001,deny"
Esempio 4
Per questo esempio, si vuole bloccare User-Agent evilbot e il traffico nell'intervallo 192.168.5.0/24. Per eseguire questa azione, è possibile creare due condizioni di corrispondenza separate e inserirle entrambe nella stessa regola. Questa configurazione garantisce che se entrambe le proprietà evilbot nell'intestazione User-Agent e negli indirizzi IP compresi nell'intervallo 192.168.5.0/24 vengono confrontate, la richiesta viene bloccata.
Logica: p e q
$variable1 = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RemoteAddr
$variable2 = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RequestHeaders `
-Selector User-Agent
$condition1 = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable1 `
-Operator IPMatch `
-MatchValue "192.168.5.0/24" `
-NegationCondition $False
$condition2 = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable2 `
-Operator Contains `
-MatchValue "evilbot" `
-Transform Lowercase `
-NegationCondition $False
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name myrule `
-Priority 10 `
-RuleType MatchRule `
-MatchCondition $condition1, $condition2 `
-Action Block `
-State Enabled
Ecco il codice JSON corrispondente:
{
"customRules": [
{
"name": "myrule",
"priority": 10,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RemoteAddr"
}
],
"operator": "IPMatch",
"negationConditon": false,
"matchValues": [
"192.168.5.0/24"
],
"transforms": []
},
{
"matchVariables": [
{
"variableName": "RequestHeaders",
"selector": "User-Agent"
}
],
"operator": "Contains",
"negationConditon": false,
"matchValues": [
"evilbot"
],
"transforms": [
"Lowercase"
]
}
]
}
]
}
Esempio 5
Per questo esempio, si vuole bloccare se la richiesta non è compresa nell'intervallo di indirizzi IP 192.168.5.0/24 oppure la stringa dell'agente utente non è chrome (ovvero l'utente non usa il browser Chrome). Poiché questa logica usa o, le due condizioni si trovano in regole separate, come illustrato nell'esempio seguente. myrule1 e myrule2 devono entrambi corrispondere per bloccare il traffico.
Logica: not (p e q) = not p o not q.
$variable1 = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RemoteAddr
$variable2 = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RequestHeaders `
-Selector User-Agent
$condition1 = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable1 `
-Operator IPMatch `
-MatchValue "192.168.5.0/24" `
-NegationCondition $True
$condition2 = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable2 `
-Operator Contains `
-MatchValue "chrome" `
-Transform Lowercase `
-NegationCondition $True
$rule1 = New-AzApplicationGatewayFirewallCustomRule `
-Name myrule1 `
-Priority 10 `
-RuleType MatchRule `
-MatchCondition $condition1 `
-Action Block `
-State Enabled
$rule2 = New-AzApplicationGatewayFirewallCustomRule `
-Name myrule2 `
-Priority 20 `
-RuleType MatchRule `
-MatchCondition $condition2 `
-Action Block `
-State Enabled
E il codice JSON corrispondente:
{
"customRules": [
{
"name": "myrule1",
"priority": 10,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RemoteAddr"
}
],
"operator": "IPMatch",
"negationConditon": true,
"matchValues": [
"192.168.5.0/24"
],
"transforms": []
}
]
},
{
"name": "myrule2",
"priority": 20,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RequestHeaders",
"selector": "User-Agent"
}
],
"operator": "Contains",
"negationConditon": true,
"matchValues": [
"chrome"
],
"transforms": [
"Lowercase"
]
}
]
}
]
}
Esempio 6
Si vuole consentire solo le richieste da agenti utente noti specifici.
Poiché la logica usata qui è o e tutti i valori si trovano nell'intestazione User-Agent , tutti i Valori MatchValue possono trovarsi in un elenco delimitato da virgole.
Logica: p o q o r
$variable = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RequestHeaders `
-Selector User-Agent
$condition = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable `
-Operator Equal `
-MatchValue @('user1', 'user2') `
-NegationCondition $True
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name BlockUnknownUserAgents `
-Priority 2 `
-RuleType MatchRule `
-MatchCondition $condition `
-Action Block `
-State Enabled
JSON corrispondente:
{
"customRules": [
{
"name": "BlockUnknownUserAgents",
"priority": 2,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RequestHeaders",
"selector": "User-Agent"
}
],
"operator": "Equal",
"negationConditon": true,
"matchValues": [
"user1",
"user2"
],
"transforms": []
}
]
}
]
}
Esempio 7
Non è insolito vedere Frontdoor di Azure distribuito davanti a gateway applicazione. Per assicurarsi che il traffico ricevuto da gateway applicazione provenga dalla distribuzione di Frontdoor, è consigliabile verificare se l'intestazione X-Azure-FDID contiene il valore univoco previsto. Per altre informazioni sulla protezione dell'accesso all'applicazione tramite Frontdoor di Azure, vedere Come bloccare l'accesso al back-end solo in Frontdoor di Azure
Logica: non p
$expectedFDID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$variable = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RequestHeaders `
-Selector X-Azure-FDID
$condition = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable `
-Operator Equal `
-MatchValue $expectedFDID `
-Transform Lowercase `
-NegationCondition $True
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name blockNonAFDTraffic `
-Priority 2 `
-RuleType MatchRule `
-MatchCondition $condition `
-Action Block `
-State Enabled
Di seguito è riportato il codice JSON corrispondente:
{
"customRules": [
{
"name": "blockNonAFDTraffic",
"priority": 2,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RequestHeaders",
"selector": "X-Azure-FDID"
}
],
"operator": "Equal",
"negationConditon": true,
"matchValues": [
"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
],
"transforms": [
"Lowercase"
]
}
]
}
]
}
Passaggi successivi
Dopo aver creato le regole personalizzate, è possibile imparare a visualizzare i log waf. Per altre informazioni, vedere Diagnostica del gateway applicazione.