application gateway firewall 정책 예외 처리가 되지 않습니다.

Question

오탐으로 예외 정책을 사용하려고 하는데 적용되지 않습니다.

1. 관리규칙에서 요청인수이름, 요청인수값 모두 등록하여 사용하였지만 적용되지 않았습니다.
2. 관리규칙에서 요청인수이름, 요청인수값 모두 equal any로 "*" 등록했지만 적용되지 않았습니다.
3. 사용자 규칙에서 해당 경로를 예외처리하니 오류가 나타나지 않고 예외처리가 되었습니다.

어떤 규칙 적용을 보안상으로 우선해야하며, 왜 관리규칙에서 equal any는 적용되지 않나요?

1. backend에 443로 통신하면 적용 되지 않나요?
2. 전달인수가 xml일때는 적용되지 않나요?

Answer 1

안녕하세요, kaonilob

영어에서 한국어로 번역한 내용이므로 문법상 일부 오류가 있더라도 양해 부탁드립니다.

Microsoft Q&A 플랫폼에 오신 것을 환영합니다.

Azure WAF 관리형 규칙 제외(Managed Rule Exclusions)는 WAF 엔진이 검사 대상 요청 속성(예: 요청 인수 이름 또는 값)을 정상적으로 추출하고 정규화할 수 있는 경우에만 적용됩니다. Equal Any (*) 연산자는 규칙 적용을 우회하지 않으며, 해당 요청 속성이 존재하고 지원되는 경우에만 모든 값과 일치합니다.

XML 페이로드가 포함된 시나리오에서 Azure WAF는 요청 본문을 파싱하려고 시도합니다. XML 파싱에 실패하거나, 페이로드에서 추출 가능한 요청 인수 이름/값 쌍이 생성되지 않는 경우 필수 규칙(Mandatory rules) 이 트리거됩니다. 필수 규칙은 비활성화하거나 제외할 수 없으며, 필수 규칙이 적용되는 경우 관리형 규칙 제외는 평가되지 않습니다. 이 동작은

이로 인해 XML 페이로드를 요청 인수로 파싱할 수 없는 경우에는 인수(argument) 기반 제외가 적용되지 않을 수 있습니다. 반면, 요청 URI(경로) 기반 제외는 요청 본문 파싱에 의존하지 않으므로 계속 정상적으로 동작합니다.

HTTPS(포트 443)는 이 동작에 영향을 주지 않습니다. Azure WAF는 검사 전에 TLS를 종료하기 때문입니다.

참고 링크: https://learn.microsoft.com/en-us/azure/web-application-firewall/ag/application-gateway-customize-waf-rules-portal#mandatory-rules
**
참고: 위의 정보로 문제가 해결되지 않은 경우, 추가 처리를 위해 요청된 세부 정보를 개인 메시지로 공유해 주시기 바랍니다.**

해당 정보가 도움이 되었다면 업보트() 를 눌러주시고, 확인 회신을 부탁드립니다. 이는 저희뿐만 아니라 커뮤니티의 다른 사용자들에게도 큰 도움이 됩니다.