Anpassa Web Application Firewall regler med hjälp av Azure CLI
Den Azure Application Gateway Web Application Firewall (WAF) ger skydd för webbprogram. Dessa skydd tillhandahålls av CRS (Open Web Application Security Project) (OWASP) Core Rule Set (CRS). Vissa regler kan orsaka falska positiva identifieringar och blockera verklig trafik. Därför kan Application Gateway anpassa regelgrupper och regler. Mer information om specifika regelgrupper och regler finns i Lista över Web Application Firewall CRS-regelgrupper och regler.
Visa regelgrupper och regler
Följande kodexempel visar hur du visar regler och regelgrupper som kan konfigureras.
Visa regelgrupper
I följande exempel visas hur du visar regelgrupperna:
az network application-gateway waf-config list-rule-sets --type OWASP
Följande utdata är ett trunkerat svar från föregående exempel:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Visa regler i en regelgrupp
I följande exempel visas hur du visar regler i en angiven regelgrupp:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
Följande utdata är ett trunkerat svar från föregående exempel:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Inaktivera regler
I följande exempel inaktiveras regler 910018 och 910017 på en programgateway:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Obligatoriska regler
Följande lista innehåller villkor som gör att WAF blockerar begäran i förebyggande läge (i identifieringsläge loggas de som undantag). Dessa villkor kan inte konfigureras eller inaktiveras:
- Om begärandetexten inte parsas blockeras begäran, såvida inte brödtextgranskning är inaktiverad (XML, JSON, formulärdata)
- Datalängden för begärandetexten (utan filer) är större än den konfigurerade gränsen
- Begärandetexten (inklusive filer) är större än gränsen
- Ett internt fel inträffade i WAF-motorn
CRS 3.x-specifik:
- Tröskelvärdet för inkommande
anomaly scoretrafik överskreds
Nästa steg
När du har konfigurerat dina inaktiverade regler kan du lära dig hur du visar waf-loggarna. Mer information finns i Application Gateway diagnostik.