Web Application Firewall regels aanpassen met PowerShell
De Azure Application Gateway Web Application Firewall (WAF) biedt beveiliging voor webtoepassingen. Deze beveiligingen worden geleverd door de Crs (Open Web Application Security Project) Core Rule Set (OWASP). Sommige regels kunnen fout-positieven veroorzaken en echt verkeer blokkeren. Daarom biedt Application Gateway de mogelijkheid om regelgroepen en regels aan te passen. Zie Lijst met Web Application Firewall CRS-regelgroepen en -regels voor meer informatie over de specifieke regelgroepen en regels.
Regelgroepen en regels weergeven
De volgende codevoorbeelden laten zien hoe u regels en regelgroepen kunt weergeven die kunnen worden geconfigureerd op een toepassingsgateway met WAF-functionaliteit.
Regelgroepen weergeven
In het volgende voorbeeld ziet u hoe u regelgroepen kunt weergeven:
Get-AzApplicationGatewayAvailableWafRuleSets
De volgende uitvoer is een afgekapt antwoord uit het voorgaande voorbeeld:
OWASP (Ver. 3.0):
General:
Description:
Rules:
RuleId Description
------ -----------
200004 Possible Multipart Unmatched Boundary.
REQUEST-911-METHOD-ENFORCEMENT:
Description:
Rules:
RuleId Description
------ -----------
911011 Rule 911011
911012 Rule 911012
911100 Method is not allowed by policy
911013 Rule 911013
911014 Rule 911014
911015 Rule 911015
911016 Rule 911016
911017 Rule 911017
911018 Rule 911018
REQUEST-913-SCANNER-DETECTION:
Description:
Rules:
RuleId Description
------ -----------
913011 Rule 913011
913012 Rule 913012
913100 Found User-Agent associated with security scanner
913110 Found request header associated with security scanner
913120 Found request filename/argument associated with security scanner
913013 Rule 913013
913014 Rule 913014
913101 Found User-Agent associated with scripting/generic HTTP client
913102 Found User-Agent associated with web crawler/bot
913015 Rule 913015
913016 Rule 913016
913017 Rule 913017
913018 Rule 913018
... ...
Regels uitschakelen
In het volgende voorbeeld worden regels 911011
en 911012
op een toepassingsgateway uitgeschakeld:
$disabledrules=New-AzApplicationGatewayFirewallDisabledRuleGroupConfig -RuleGroupName REQUEST-911-METHOD-ENFORCEMENT -Rules 911011,911012
Set-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $gw -Enabled $true -FirewallMode Detection -RuleSetVersion 3.0 -RuleSetType OWASP -DisabledRuleGroups $disabledrules
Set-AzApplicationGateway -ApplicationGateway $gw
Verplichte regels
De volgende lijst bevat voorwaarden die ervoor zorgen dat de WAF de aanvraag blokkeert in de preventiemodus (in de detectiemodus worden ze geregistreerd als uitzonderingen). Deze kunnen niet worden geconfigureerd of uitgeschakeld:
- Als de aanvraagbody niet wordt geparseerd, wordt de aanvraag geblokkeerd, tenzij de hoofdtekstcontrole is uitgeschakeld (XML, JSON, formuliergegevens)
- De gegevenslengte van de aanvraagbody (zonder bestanden) is groter dan de geconfigureerde limiet
- Aanvraagbody (inclusief bestanden) is groter dan de limiet
- Er is een interne fout opgetreden in de WAF-engine
CRS 3.x specifiek:
- Drempelwaarde voor afwijkingsscore voor inkomend verkeer overschreden
Volgende stappen
Nadat u de uitgeschakelde regels hebt geconfigureerd, kunt u leren hoe u uw WAF-logboeken kunt weergeven. Zie Application Gateway Diagnostische gegevens voor meer informatie.