Aangepaste Web Application Firewall v2-regels maken en gebruiken op Application Gateway
WaF (Web Application Firewall) v2 op Azure-toepassing Gateway biedt beveiliging voor webtoepassingen. Deze beveiliging wordt geboden door de Open Web Application Security Project (OWASP) Core Rule Set (CRS). In sommige gevallen moet u mogelijk uw eigen aangepaste regels maken om te voldoen aan uw specifieke behoeften. Zie het overzicht van aangepaste WAF-regels voor webtoepassingsfirewallregels voor meer informatie over aangepaste WAF-regels.
In dit artikel vindt u enkele voorbeelden van aangepaste regels die u met uw v2 WAF kunt maken en gebruiken. Zie Aangepaste regels voor Web Application Firewall configureren met Behulp van Azure PowerShell voor meer informatie over het implementeren van een WAF met een aangepaste regel.
De JSON-fragmenten die in dit artikel worden weergegeven, zijn afgeleid van een ApplicationGatewayWebApplicationFirewallPolicies-resource .
Notitie
Als uw toepassingsgateway de WAF-laag niet gebruikt, wordt de optie voor het upgraden van de toepassingsgateway naar de WAF-laag weergegeven in het rechterdeelvenster.
Voorbeeld 1
U weet dat er een bot met de naam evilbot is die u wilt blokkeren om uw website te verkennen. In dit geval blokkeert u de User-Agent evilbot in de aanvraagheaders.
Logica: p
$variable = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RequestHeaders `
-Selector User-Agent
$condition = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable `
-Operator Contains `
-MatchValue "evilbot" `
-Transform Lowercase `
-NegationCondition $False
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name blockEvilBot `
-Priority 2 `
-RuleType MatchRule `
-MatchCondition $condition `
-Action Block `
-State Enabled
En dit is de bijbehorende JSON:
{
"customRules": [
{
"name": "blockEvilBot",
"priority": 2,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RequestHeaders",
"selector": "User-Agent"
}
],
"operator": "Contains",
"negationCondition": false,
"matchValues": [
"evilbot"
],
"transforms": [
"Lowercase"
]
}
]
}
]
}
Zie Een aangepaste Web Application Firewall-regel configureren met behulp van Azure PowerShell als u een WAF wilt zien die is geïmplementeerd met behulp van deze aangepaste regel.
Voorbeeld 1a
U kunt hetzelfde doen met behulp van een reguliere expressie:
$variable = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RequestHeaders `
-Selector User-Agent
$condition = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable `
-Operator Regex `
-MatchValue "evilbot" `
-Transform Lowercase `
-NegationCondition $False
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name blockEvilBot `
-Priority 2 `
-RuleType MatchRule `
-MatchCondition $condition `
-Action Block `
-State Enabled
En de bijbehorende JSON:
{
"customRules": [
{
"name": "blockEvilBot",
"priority": 2,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RequestHeaders",
"selector": "User-Agent"
}
],
"operator": "Regex",
"negationCondition": false,
"matchValues": [
"evilbot"
],
"transforms": [
"Lowercase"
]
}
]
}
]
}
Voorbeeld 2
U wilt alleen verkeer van de Verenigde Staten toestaan met behulp van de GeoMatch-operator en de beheerde regels nog steeds van toepassing zijn:
$variable = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RemoteAddr `
$condition = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable `
-Operator GeoMatch `
-MatchValue "US" `
-Transform Lowercase `
-NegationCondition $True
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name "allowUS" `
-Priority 2 `
-RuleType MatchRule `
-MatchCondition $condition `
-Action Block `
-State Enabled
En de bijbehorende JSON:
{
"customRules": [
{
"name": "allowUS",
"priority": 2,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RemoteAddr"
}
],
"operator": "GeoMatch",
"negationCondition": true,
"matchValues": [
"US"
],
"transforms": [
"Lowercase"
]
}
]
}
]
}
Voorbeeld 3
U wilt alle aanvragen van IP-adressen in het bereik 198.168.5.0/24 blokkeren.
In dit voorbeeld blokkeert u al het verkeer dat afkomstig is van een IP-adresbereik. De naam van de regel is myrule1 en de prioriteit is ingesteld op 10.
Logica: p
$variable1 = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RemoteAddr
$condition1 = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable1 `
-Operator IPMatch `
-MatchValue "192.168.5.0/24" `
-NegationCondition $False
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name myrule1 `
-Priority 10 `
-RuleType MatchRule `
-MatchCondition $condition1 `
-Action Block `
-State Enabled
Dit is de bijbehorende JSON:
{
"customRules": [
{
"name": "myrule1",
"priority": 10,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RemoteAddr"
}
],
"operator": "IPMatch",
"negationCondition": false,
"matchValues": [
"192.168.5.0/24"
],
"transforms": []
}
]
}
]
}
Bijbehorende CRS-regel: SecRule REMOTE_ADDR "@ipMatch 192.168.5.0/24" "id:7001,deny"
Voorbeeld 4
In dit voorbeeld wilt u het evilbot van user-agent blokkeren en verkeer in het bereik 192.168.5.0/24. Als u deze actie wilt uitvoeren, kunt u twee afzonderlijke overeenkomstvoorwaarden maken en beide in dezelfde regel plaatsen. Deze configuratie zorgt ervoor dat als zowel evilbot in de header user-agent als ip-adressen van het bereik 192.168.5.0/24 overeenkomen, de aanvraag wordt geblokkeerd.
Logica: p en q
$variable1 = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RemoteAddr
$variable2 = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RequestHeaders `
-Selector User-Agent
$condition1 = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable1 `
-Operator IPMatch `
-MatchValue "192.168.5.0/24" `
-NegationCondition $False
$condition2 = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable2 `
-Operator Contains `
-MatchValue "evilbot" `
-Transform Lowercase `
-NegationCondition $False
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name myrule `
-Priority 10 `
-RuleType MatchRule `
-MatchCondition $condition1, $condition2 `
-Action Block `
-State Enabled
Dit is de bijbehorende JSON:
{
"customRules": [
{
"name": "myrule",
"priority": 10,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RemoteAddr"
}
],
"operator": "IPMatch",
"negationCondition": false,
"matchValues": [
"192.168.5.0/24"
],
"transforms": []
},
{
"matchVariables": [
{
"variableName": "RequestHeaders",
"selector": "User-Agent"
}
],
"operator": "Contains",
"negationCondition": false,
"matchValues": [
"evilbot"
],
"transforms": [
"Lowercase"
]
}
]
}
]
}
Voorbeeld 5
In dit voorbeeld wilt u blokkeren als de aanvraag zich buiten het IP-adresbereik 192.168.5.0/24 bevindt of de tekenreeks van de gebruikersagent niet chromen is (wat betekent dat de gebruiker de Chrome-browser niet gebruikt). Aangezien deze logica gebruikmaakt van of, bevinden de twee voorwaarden zich in afzonderlijke regels, zoals te zien is in het volgende voorbeeld. myrule1 en myrule2 moeten beide overeenkomen om het verkeer te blokkeren.
Logica: niet (p en q) = niet p of niet q.
$variable1 = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RemoteAddr
$variable2 = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RequestHeaders `
-Selector User-Agent
$condition1 = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable1 `
-Operator IPMatch `
-MatchValue "192.168.5.0/24" `
-NegationCondition $True
$condition2 = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable2 `
-Operator Contains `
-MatchValue "chrome" `
-Transform Lowercase `
-NegationCondition $True
$rule1 = New-AzApplicationGatewayFirewallCustomRule `
-Name myrule1 `
-Priority 10 `
-RuleType MatchRule `
-MatchCondition $condition1 `
-Action Block `
-State Enabled
$rule2 = New-AzApplicationGatewayFirewallCustomRule `
-Name myrule2 `
-Priority 20 `
-RuleType MatchRule `
-MatchCondition $condition2 `
-Action Block `
-State Enabled
En de bijbehorende JSON:
{
"customRules": [
{
"name": "myrule1",
"priority": 10,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RemoteAddr"
}
],
"operator": "IPMatch",
"negationCondition": true,
"matchValues": [
"192.168.5.0/24"
],
"transforms": []
}
]
},
{
"name": "myrule2",
"priority": 20,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RequestHeaders",
"selector": "User-Agent"
}
],
"operator": "Contains",
"negationCondition": true,
"matchValues": [
"chrome"
],
"transforms": [
"Lowercase"
]
}
]
}
]
}
Voorbeeld 6
U wilt alleen aanvragen van specifieke bekende gebruikersagents toestaan.
Omdat de logica die hier wordt gebruikt, of alle waarden zich in de header User-Agent bevinden, kunnen alle MatchValues zich in een door komma's gescheiden lijst bevinden.
Logica: p of q of r
$variable = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RequestHeaders `
-Selector User-Agent
$condition = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable `
-Operator Equal `
-MatchValue @('user1', 'user2') `
-NegationCondition $True
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name BlockUnknownUserAgents `
-Priority 2 `
-RuleType MatchRule `
-MatchCondition $condition `
-Action Block `
-State Enabled
Bijbehorende JSON:
{
"customRules": [
{
"name": "BlockUnknownUserAgents",
"priority": 2,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RequestHeaders",
"selector": "User-Agent"
}
],
"operator": "Equal",
"negationCondition": true,
"matchValues": [
"user1",
"user2"
],
"transforms": []
}
]
}
]
}
Voorbeeld 7
Het is niet ongebruikelijk dat Azure Front Door vóór Application Gateway is geïmplementeerd. Om ervoor te zorgen dat het verkeer dat wordt ontvangen door Application Gateway afkomstig is van de Front Door-implementatie, kunt u het beste controleren of de X-Azure-FDID
header de verwachte unieke waarde bevat. Zie De toegang tot mijn back-end vergrendelen tot alleen Azure Front Door voor meer informatie over het beveiligen van de toegang tot uw toepassing met behulp van Azure Front Door
Logica: niet p
$expectedFDID = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$variable = New-AzApplicationGatewayFirewallMatchVariable `
-VariableName RequestHeaders `
-Selector X-Azure-FDID
$condition = New-AzApplicationGatewayFirewallCondition `
-MatchVariable $variable `
-Operator Equal `
-MatchValue $expectedFDID `
-Transform Lowercase `
-NegationCondition $True
$rule = New-AzApplicationGatewayFirewallCustomRule `
-Name blockNonAFDTraffic `
-Priority 2 `
-RuleType MatchRule `
-MatchCondition $condition `
-Action Block `
-State Enabled
En dit is de bijbehorende JSON:
{
"customRules": [
{
"name": "blockNonAFDTraffic",
"priority": 2,
"ruleType": "MatchRule",
"action": "Block",
"state": "Enabled",
"matchConditions": [
{
"matchVariables": [
{
"variableName": "RequestHeaders",
"selector": "X-Azure-FDID"
}
],
"operator": "Equal",
"negationCondition": true,
"matchValues": [
"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
],
"transforms": [
"Lowercase"
]
}
]
}
]
}
Volgende stappen
Nadat u uw aangepaste regels hebt gemaakt, kunt u leren hoe u uw WAF-logboeken kunt weergeven. Zie Application Gateway Diagnostics voor meer informatie.