Share via

Web Application Firewall regels aanpassen met PowerShell

  • Artikel

De Azure Application Gateway Web Application Firewall (WAF) biedt beveiliging voor webtoepassingen. Deze beveiligingen worden geleverd door de Crs (Open Web Application Security Project) Core Rule Set (OWASP). Sommige regels kunnen fout-positieven veroorzaken en echt verkeer blokkeren. Daarom biedt Application Gateway de mogelijkheid om regelgroepen en regels aan te passen. Zie Lijst met Web Application Firewall CRS-regelgroepen en -regels voor meer informatie over de specifieke regelgroepen en regels.

Regelgroepen en regels weergeven

De volgende codevoorbeelden laten zien hoe u regels en regelgroepen kunt weergeven die kunnen worden geconfigureerd op een toepassingsgateway met WAF-functionaliteit.

Regelgroepen weergeven

In het volgende voorbeeld ziet u hoe u regelgroepen kunt weergeven:

Get-AzApplicationGatewayAvailableWafRuleSets

De volgende uitvoer is een afgekapt antwoord uit het voorgaande voorbeeld:

OWASP (Ver. 3.0):

    General:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            200004     Possible Multipart Unmatched Boundary.

    REQUEST-911-METHOD-ENFORCEMENT:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            911011     Rule 911011
            911012     Rule 911012
            911100     Method is not allowed by policy
            911013     Rule 911013
            911014     Rule 911014
            911015     Rule 911015
            911016     Rule 911016
            911017     Rule 911017
            911018     Rule 911018

    REQUEST-913-SCANNER-DETECTION:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            913011     Rule 913011
            913012     Rule 913012
            913100     Found User-Agent associated with security scanner
            913110     Found request header associated with security scanner
            913120     Found request filename/argument associated with security scanner
            913013     Rule 913013
            913014     Rule 913014
            913101     Found User-Agent associated with scripting/generic HTTP client
            913102     Found User-Agent associated with web crawler/bot
            913015     Rule 913015
            913016     Rule 913016
            913017     Rule 913017
            913018     Rule 913018

            ...        ...

Regels uitschakelen

In het volgende voorbeeld worden regels 911011 en 911012 op een toepassingsgateway uitgeschakeld:

$disabledrules=New-AzApplicationGatewayFirewallDisabledRuleGroupConfig -RuleGroupName REQUEST-911-METHOD-ENFORCEMENT -Rules 911011,911012
Set-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $gw -Enabled $true -FirewallMode Detection -RuleSetVersion 3.0 -RuleSetType OWASP -DisabledRuleGroups $disabledrules
Set-AzApplicationGateway -ApplicationGateway $gw

Verplichte regels

De volgende lijst bevat voorwaarden die ervoor zorgen dat de WAF de aanvraag blokkeert in de preventiemodus (in de detectiemodus worden ze geregistreerd als uitzonderingen). Deze kunnen niet worden geconfigureerd of uitgeschakeld:

  • Als de aanvraagbody niet wordt geparseerd, wordt de aanvraag geblokkeerd, tenzij de hoofdtekstcontrole is uitgeschakeld (XML, JSON, formuliergegevens)
  • De gegevenslengte van de aanvraagbody (zonder bestanden) is groter dan de geconfigureerde limiet
  • Aanvraagbody (inclusief bestanden) is groter dan de limiet
  • Er is een interne fout opgetreden in de WAF-engine

CRS 3.x specifiek:

  • Drempelwaarde voor afwijkingsscore voor inkomend verkeer overschreden

Volgende stappen

Nadat u de uitgeschakelde regels hebt geconfigureerd, kunt u leren hoe u uw WAF-logboeken kunt weergeven. Zie Application Gateway Diagnostische gegevens voor meer informatie.