Personalizar regras de Firewall de Aplicações Web com o PowerShell
O Gateway de Aplicação do Azure Firewall de Aplicações Web (WAF) fornece proteção para aplicações Web. Estas proteções são fornecidas pelo Conjunto de Regras (CRS) Do Open Web Application Security Project (OWASP). Algumas regras podem causar falsos positivos e bloquear o tráfego real. Por este motivo, Gateway de Aplicação fornece a capacidade de personalizar grupos de regras e regras. Para obter mais informações sobre os grupos de regras e regras específicos, veja Lista de Firewall de Aplicações Web regras e grupos de regras do CRS.
Ver grupos de regras e regras
Os exemplos de código seguintes mostram como ver regras e grupos de regras configuráveis num gateway de aplicação compatível com WAF.
Ver grupos de regras
O exemplo seguinte mostra como ver grupos de regras:
Get-AzApplicationGatewayAvailableWafRuleSets
O seguinte resultado é uma resposta truncada do exemplo anterior:
OWASP (Ver. 3.0):
General:
Description:
Rules:
RuleId Description
------ -----------
200004 Possible Multipart Unmatched Boundary.
REQUEST-911-METHOD-ENFORCEMENT:
Description:
Rules:
RuleId Description
------ -----------
911011 Rule 911011
911012 Rule 911012
911100 Method is not allowed by policy
911013 Rule 911013
911014 Rule 911014
911015 Rule 911015
911016 Rule 911016
911017 Rule 911017
911018 Rule 911018
REQUEST-913-SCANNER-DETECTION:
Description:
Rules:
RuleId Description
------ -----------
913011 Rule 913011
913012 Rule 913012
913100 Found User-Agent associated with security scanner
913110 Found request header associated with security scanner
913120 Found request filename/argument associated with security scanner
913013 Rule 913013
913014 Rule 913014
913101 Found User-Agent associated with scripting/generic HTTP client
913102 Found User-Agent associated with web crawler/bot
913015 Rule 913015
913016 Rule 913016
913017 Rule 913017
913018 Rule 913018
... ...
Desativar regras
O exemplo seguinte desativa as regras 911011
e 911012
num gateway de aplicação:
$disabledrules=New-AzApplicationGatewayFirewallDisabledRuleGroupConfig -RuleGroupName REQUEST-911-METHOD-ENFORCEMENT -Rules 911011,911012
Set-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $gw -Enabled $true -FirewallMode Detection -RuleSetVersion 3.0 -RuleSetType OWASP -DisabledRuleGroups $disabledrules
Set-AzApplicationGateway -ApplicationGateway $gw
Regras obrigatórias
A lista seguinte contém condições que fazem com que a WAF bloqueie o pedido no Modo de Prevenção (no Modo de Deteção são registados como exceções). Estes não podem ser configurados ou desativados:
- A falha ao analisar o corpo do pedido faz com que o pedido seja bloqueado, a menos que a inspeção corporal esteja desativada (XML, JSON, dados do formulário)
- O comprimento dos dados do corpo do pedido (sem ficheiros) é superior ao limite configurado
- O corpo do pedido (incluindo ficheiros) é superior ao limite
- Ocorreu um erro interno no motor da WAF
CRS 3.x específico:
- A classificação de anomalias de entrada excedeu o limiar
Passos seguintes
Depois de configurar as regras desativadas, pode aprender a ver os registos da WAF. Para obter mais informações, veja Diagnósticos de Gateway de Aplicação.