Personalizar regras da Firewall de Aplicações Web com a CLI do Azure
A Firewall de Aplicações Web (WAF) do Gateway de Aplicação do Azure fornece proteção para aplicações Web. Estas proteções são fornecidas pelo Conjunto de Regras Principais (CRS) do Open Web Application Security Project (OWASP). Algumas regras podem causar falsos positivos e bloquear o tráfego real. Por este motivo, o Gateway de Aplicação fornece a capacidade de personalizar grupos de regras e regras. Para obter mais informações sobre os grupos de regras e regras específicos, veja Lista de regras e grupos de regras crS da Firewall de Aplicações Web.
Ver grupos e regras de regras
Os exemplos de código seguintes mostram como ver regras e grupos de regras configuráveis.
Ver grupos de regras
O exemplo seguinte mostra como ver os grupos de regras:
az network application-gateway waf-config list-rule-sets --type OWASP
O resultado seguinte é uma resposta truncada do exemplo anterior:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Ver regras num grupo de regras
O exemplo seguinte mostra como ver regras num grupo de regras especificado:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
O resultado seguinte é uma resposta truncada do exemplo anterior:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Desativar regras
O exemplo seguinte desativa regras 910018 e 910017 num gateway de aplicação:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Regras obrigatórias
A lista seguinte contém condições que fazem com que a WAF bloqueie o pedido no Modo de Prevenção (no Modo de Deteção são registadas como exceções). Estas condições não podem ser configuradas ou desativadas:
- A falha ao analisar o corpo do pedido resulta no bloqueio do pedido, a menos que a inspeção do corpo esteja desativada (XML, JSON, dados do formulário)
- O comprimento dos dados do corpo do pedido (sem ficheiros) é superior ao limite configurado
- O corpo do pedido (incluindo ficheiros) é superior ao limite
- Ocorreu um erro interno no motor WAF
CRS 3.x específico:
- Limiar excedido de entrada
anomaly score
Passos seguintes
Depois de configurar as regras desativadas, pode aprender a ver os seus registos WAF. Para obter mais informações, veja Diagnósticos do Gateway de Aplicação.