Dostosowywanie reguł Web Application Firewall przy użyciu interfejsu wiersza polecenia platformy Azure
Azure Application Gateway Web Application Firewall (WAF) zapewnia ochronę aplikacji internetowych. Te zabezpieczenia są udostępniane przez podstawowy zestaw reguł Open Web Application Security Project (OWASP) Core Rule Set (CRS). Niektóre reguły mogą powodować fałszywie dodatnie i blokować rzeczywisty ruch. Z tego powodu Application Gateway zapewnia możliwość dostosowywania grup reguł i reguł. Aby uzyskać więcej informacji na temat określonych grup reguł i reguł, zobacz Lista Web Application Firewall grup reguł i reguł CRS.
Wyświetlanie grup reguł i reguł
W poniższych przykładach kodu pokazano, jak wyświetlać reguły i grupy reguł, które można konfigurować.
Wyświetlanie grup reguł
W poniższym przykładzie pokazano, jak wyświetlić grupy reguł:
az network application-gateway waf-config list-rule-sets --type OWASP
Następujące dane wyjściowe to obcięta odpowiedź z poprzedniego przykładu:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Wyświetlanie reguł w grupie reguł
W poniższym przykładzie pokazano, jak wyświetlać reguły w określonej grupie reguł:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
Następujące dane wyjściowe to obcięta odpowiedź z poprzedniego przykładu:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Wyłączanie reguł
Poniższy przykład wyłącza reguły 910018
i 910017
bramę aplikacji:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Obowiązkowe reguły
Poniższa lista zawiera warunki, które powodują zablokowanie żądania przez zaporę aplikacji internetowej w trybie zapobiegania (w trybie wykrywania są rejestrowane jako wyjątki). Nie można skonfigurować ani wyłączyć tych warunków:
- Nie można przeanalizować treści żądania powoduje zablokowanie żądania, chyba że inspekcja treści jest wyłączona (XML, JSON, dane formularza)
- Długość danych żądania (bez plików) jest większa niż skonfigurowany limit
- Treść żądania (w tym pliki) jest większa niż limit
- Wystąpił błąd wewnętrzny w afiszcie zapory aplikacji internetowej
Specyficzny dla crS 3.x:
- Przekroczono próg dla ruchu przychodzącego
anomaly score
Następne kroki
Po skonfigurowaniu reguł wyłączonych możesz dowiedzieć się, jak wyświetlać dzienniki zapory aplikacji internetowej. Aby uzyskać więcej informacji, zobacz Application Gateway diagnostyki.