استكشاف أخطاء جدار حماية تطبيق ويب (WAF) لبوابة تطبيقات Azure وإصلاحها
هناك بعض الأشياء التي يمكنك القيام بها إذا تم حظر الطلبات التي يجب أن تمر عبر جدار حماية تطبيقات الويب (WAF).
أولا، تأكد من قراءة نظرة عامة على WAF ومستندات تكوين WAF . تأكد أيضا من تمكين مراقبة WAF تشرح هذه المقالات كيفية عمل WAF ، وكيفية عمل مجموعات قواعد WAF ، وكيفية الوصول إلى سجلات WAF .
تم تصميم مجموعات قواعد OWASP لتكون صارمة للغاية خارج الصندوق ، ويتم ضبطها لتناسب الاحتياجات المحددة للتطبيق أو المنظمة التي تستخدم WAF. من الطبيعي تماما ، ومن المتوقع بالفعل في كثير من الحالات ، إنشاء استثناءات وقواعد مخصصة وحتى تعطيل القواعد التي قد تسبب مشكلات أو إيجابيات خاطئة. تسمح سياسات كل موقع ولكل عنوان URI لهذه التغييرات بالتأثير فقط على مواقع/عناوين URI محددة، لذلك لا ينبغي أن تؤثر أي تغييرات على المواقع الأخرى التي قد لا تواجه نفس المشكلات.
فهم سجلات WAF
الغرض من سجلات WAF هو إظهار كل طلب يتم مطابقته أو حظره بواسطة WAF. وهو دفتر أستاذ لجميع الطلبات التي تم تقييمها والتي تمت مطابقتها أو حظرها. إذا لاحظت أن WAF يحظر طلبا لا ينبغي أن يكون (نتيجة إيجابية خاطئة) ، فيمكنك القيام ببعض الأشياء. أولا ، قم بتضييق نطاق الطلب المحدد والعثور عليه. ابحث في السجلات للعثور على عنوان URI أو الطابع الزمني أو معرف المعاملة المحدد للطلب. عندما تعثر على إدخالات السجل المقترنة، يمكنك البدء في التصرف بناء على الإيجابيات الخاطئة.
على سبيل المثال، لنفترض أن لديك حركة مرور مشروعة تحتوي على السلسلة 1 = 1 التي تريد تمريرها عبر WAF الخاص بك. إذا جربت الطلب، يقوم WAF بحظر حركة المرور التي تحتوي على سلسلة 1 = 1 في أي معلمة أو حقل. هذه سلسلة غالبا ما ترتبط بهجوم حقن SQL. يمكنك الاطلاع على السجلات والاطلاع على الطابع الزمني للطلب والقواعد التي تم حظرها / مطابقتها.
في المثال التالي، يمكنك أن ترى أنه يتم تشغيل أربع قواعد أثناء نفس الطلب (باستخدام الحقل TransactionId). يقول الأول إنه مطابق لأن المستخدم استخدم عنوان URL رقميا / IP للطلب ، مما يزيد من درجة الشذوذ بمقدار ثلاثة لأنه تحذير. القاعدة التالية التي تطابقت هي 942130 ، وهي القاعدة التي تبحث عنها. يمكنك رؤية 1 = 1 في الحقل details.data . هذا يزيد من درجة الشذوذ بمقدار ثلاثة مرة أخرى ، لأنه أيضا تحذير. بشكل عام ، كل قاعدة تحتوي على الإجراء Match تزيد من درجة الشذوذ ، وفي هذه المرحلة ستكون درجة الشذوذ ستة. لمزيد من المعلومات، راجع وضع تسجيل النقاط الشاذة.
يظهر الإدخالان الأخيران للسجل أنه تم حظر الطلب لأن درجة الشذوذ كانت عالية بما فيه الكفاية. هذه الإدخالات لها إجراء مختلف عن الإدخالين الآخرين. يظهرون أنهم قاموا بالفعل بحظر الطلب. هذه القواعد إلزامية ولا يمكن تعطيلها. لا ينبغي النظر إليها على أنها قواعد ، ولكن أكثر من ذلك كبنية تحتية أساسية لداخل WAF.
{
"resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "167.220.2.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "920350",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"^[\\\\\\\\d.:]+$\\\" at REQUEST_HEADERS:Host. ",
"data": "40.90.218.160",
"file": "rules\/REQUEST-920-PROTOCOL-ENFORCEMENT.conf\\\"",
"line": "791"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "167.220.2.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "942130",
"message": "SQL Injection Attack: SQL Tautology Detected.",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"(?i:([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)([\\\\\\\\d\\\\\\\\w]++)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?:(?:=|\\u003c=\\u003e|r?like|sounds\\\\\\\\s+like|regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)\\\\\\\\2|(?:!=|\\u003c=|\\u003e=|\\u003c\\u003e|\\u003c|\\u003e|\\\\\\\\^|is\\\\\\\\s+not|not\\\\\\\\s+like|not\\\\\\\\s+regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?!\\\\\\\\2)([\\\\\\\\d\\\\\\\\w]+)))\\\" at ARGS:text1. ",
"data": "Matched Data: 1=1 found within ARGS:text1: 1=1",
"file": "rules\/REQUEST-942-APPLICATION-ATTACK-SQLI.conf\\\"",
"line": "554"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "167.220.2.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "",
"ruleSetVersion": "",
"ruleId": "0",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Score: 8)",
"action": "Blocked",
"site": "Global",
"details": {
"message": "Access denied with code 403 (phase 2). Operator GE matched 5 at TX:anomaly_score. ",
"data": "",
"file": "rules\/REQUEST-949-BLOCKING-EVALUATION.conf\\\"",
"line": "57"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "167.220.2.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "",
"ruleSetVersion": "",
"ruleId": "0",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Inbound Score: 8 - SQLI=5,XSS=0,RFI=0,LFI=0,RCE=0,PHPI=0,HTTP=0,SESS=0): SQL Injection Attack: SQL Tautology Detected.",
"action": "Blocked",
"site": "Global",
"details": {
"message": "Warning. Operator GE matched 5 at TX:inbound_anomaly_score. ",
"data": "",
"file": "rules\/RESPONSE-980-CORRELATION.conf\\\"",
"line": "73"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
إصلاح الإيجابيات الكاذبة
باستخدام هذه المعلومات ، ومعرفة أن القاعدة 942130 هي القاعدة التي تطابق السلسلة 1 = 1 ، يمكنك القيام ببعض الأشياء لمنع ذلك من حظر حركة المرور الخاصة بك:
استخدام قائمة استبعاد
راجع تكوين WAF لمزيد من المعلومات حول قوائم الاستبعاد.
تعطيل القاعدة.
استخدام قائمة استبعاد
لاتخاذ قرار مستنير بشأن التعامل مع نتيجة إيجابية خاطئة ، من المهم أن تتعرف على التقنيات التي يستخدمها تطبيقك. على سبيل المثال، لنفترض أنه لا يوجد خادم SQL في مكدس التكنولوجيا، وأنك تحصل على إيجابيات خاطئة تتعلق بهذه القواعد. لا يؤدي تعطيل هذه القواعد بالضرورة إلى إضعاف أمانك.
تتمثل إحدى فوائد استخدام قائمة الاستبعاد في تعطيل جزء معين فقط من الطلب. ومع ذلك، هذا يعني أن استثناء محددا ينطبق على جميع الزيارات التي تمر عبر WAF الخاص بك لأنه إعداد عالمي. على سبيل المثال، قد يؤدي ذلك إلى حدوث مشكلة إذا كان 1=1 طلبا صالحا في النص الأساسي لتطبيق معين، ولكن ليس لتطبيقات أخرى. فائدة أخرى هي أنه يمكنك الاختيار بين الجسم والرؤوس وملفات تعريف الارتباط ليتم استبعادها إذا تم استيفاء شرط معين ، بدلا من استبعاد الطلب بأكمله.
في بعض الأحيان ، هناك حالات يتم فيها تمرير معلمات محددة إلى WAF بطريقة قد لا تكون بديهية. على سبيل المثال، هناك رمز مميز يتم تمريره عند المصادقة باستخدام Azure Active Directory. عادة ما يتم تمرير هذا الرمز المميز ، __RequestVerificationToken ، كملف تعريف ارتباط للطلب. ومع ذلك ، في بعض الحالات التي يتم فيها تعطيل ملفات تعريف الارتباط ، يتم تمرير هذا الرمز المميز أيضا كسمة طلب أو "arg". إذا حدث ذلك، فستحتاج إلى التأكد من إضافة __RequestVerificationToken إلى قائمة الاستبعاد كاسم سمة طلب أيضا.
في هذا المثال، تريد استبعاد اسم السمة Request الذي يساوي النص1. هذا واضح لأنه يمكنك رؤية اسم السمة في سجلات جدار الحماية: البيانات: البيانات المطابقة: 1 = 1 الموجودة في ARGS: text1: 1 = 1. السمة هي text1. يمكنك أيضا العثور على اسم السمة هذه بعدة طرق أخرى، راجع البحث عن أسماء سمات الطلب.
تعطيل القواعد
هناك طريقة أخرى للالتفاف على إيجابية خاطئة وهي تعطيل القاعدة التي تطابقت مع المدخلات التي اعتقد WAF أنها ضارة. نظرا لأنك قمت بتحليل سجلات WAF وقمت بتضييق نطاق القاعدة إلى 942130، يمكنك تعطيلها في مدخل Azure. راجع تخصيص قواعد جدار حماية تطبيق الويب من خلال مدخل Azure.
تتمثل إحدى فوائد تعطيل القاعدة في أنه إذا كنت تعرف أن جميع الزيارات التي تحتوي على شرط معين والتي سيتم حظرها عادة هي حركة مرور صالحة ، فيمكنك تعطيل هذه القاعدة ل WAF بأكمله. ومع ذلك، إذا كانت حركة المرور صالحة فقط في حالة استخدام معينة، فإنك تفتح ثغرة أمنية عن طريق تعطيل هذه القاعدة ل WAF بأكمله نظرا لأنه إعداد عام.
إذا كنت تريد استخدام Azure PowerShell، فراجع تخصيص قواعد جدار حماية تطبيقات الويب من خلال PowerShell. إذا كنت تريد استخدام Azure CLI، فراجع تخصيص قواعد جدار حماية تطبيقات الويب من خلال Azure CLI.
البحث عن أسماء سمات الطلب
بمساعدة Fiddler ، يمكنك فحص الطلبات الفردية وتحديد الحقول المحددة لصفحة الويب التي يتم استدعاؤها. يمكن أن يساعد ذلك في استبعاد حقول معينة من الفحص باستخدام قوائم الاستبعاد.
في هذا المثال، يمكنك أن ترى أن الحقل الذي تم إدخال السلسلة 1= 1 فيه يسمى text1.
هذا حقل يمكنك استبعاده. لمعرفة المزيد حول قوائم الاستبعاد، راجع قوائم استبعاد جدار حماية تطبيق ويب. يمكنك استبعاد التقييم في هذه الحالة عن طريق تكوين الاستبعاد التالي:
يمكنك أيضا فحص سجلات جدار الحماية للحصول على المعلومات لمعرفة ما تحتاج إلى إضافته إلى قائمة الاستبعاد. لتمكين التسجيل، راجع حماية الواجهة الخلفية وسجلات الموارد والمقاييس لبوابة التطبيق.
افحص سجل جدار الحماية واعرض ملف PT1H.json للساعة التي حدث فيها الطلب الذي تريد فحصه.
في هذا المثال، يمكنك أن ترى أن لديك أربع قواعد بنفس TransactionID، وأنها حدثت جميعها في نفس الوقت بالضبط:
- {
- "resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
- "operationName": "ApplicationGatewayFirewall",
- "category": "ApplicationGatewayFirewallLog",
- "properties": {
- "instanceId": "appgw_3",
- "clientIp": "167.220.2.139",
- "clientPort": "",
- "requestUri": "\/",
- "ruleSetType": "OWASP_CRS",
- "ruleSetVersion": "3.0.0",
- "ruleId": "920350",
- "message": "Host header is a numeric IP address",
- "action": "Matched",
- "site": "Global",
- "details": {
- "message": "Warning. Pattern match \\\"^[\\\\\\\\d.:]+$\\\" at REQUEST_HEADERS:Host. ",
- "data": "40.90.218.160",
- "file": "rules\/REQUEST-920-PROTOCOL-ENFORCEMENT.conf\\\"",
- "line": "791"
- },
- "hostname": "vm000003",
- "transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
- }
- }
- {
- "resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
- "operationName": "ApplicationGatewayFirewall",
- "category": "ApplicationGatewayFirewallLog",
- "properties": {
- "instanceId": "appgw_3",
- "clientIp": "167.220.2.139",
- "clientPort": "",
- "requestUri": "\/",
- "ruleSetType": "OWASP_CRS",
- "ruleSetVersion": "3.0.0",
- "ruleId": "942130",
- "message": "SQL Injection Attack: SQL Tautology Detected.",
- "action": "Matched",
- "site": "Global",
- "details": {
- "message": "Warning. Pattern match \\\"(?i:([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)([\\\\\\\\d\\\\\\\\w]++)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?:(?:=|\\u003c=\\u003e|r?like|sounds\\\\\\\\s+like|regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)\\\\\\\\2|(?:!=|\\u003c=|\\u003e=|\\u003c\\u003e|\\u003c|\\u003e|\\\\\\\\^|is\\\\\\\\s+not|not\\\\\\\\s+like|not\\\\\\\\s+regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?!\\\\\\\\2)([\\\\\\\\d\\\\\\\\w]+)))\\\" at ARGS:text1. ",
- "data": "Matched Data: 1=1 found within ARGS:text1: 1=1",
- "file": "rules\/REQUEST-942-APPLICATION-ATTACK-SQLI.conf\\\"",
- "line": "554"
- },
- "hostname": "vm000003",
- "transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
- }
- }
- {
- "resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
- "operationName": "ApplicationGatewayFirewall",
- "category": "ApplicationGatewayFirewallLog",
- "properties": {
- "instanceId": "appgw_3",
- "clientIp": "167.220.2.139",
- "clientPort": "",
- "requestUri": "\/",
- "ruleSetType": "",
- "ruleSetVersion": "",
- "ruleId": "0",
- "message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Score: 8)",
- "action": "Blocked",
- "site": "Global",
- "details": {
- "message": "Access denied with code 403 (phase 2). Operator GE matched 5 at TX:anomaly_score. ",
- "data": "",
- "file": "rules\/REQUEST-949-BLOCKING-EVALUATION.conf\\\"",
- "line": "57"
- },
- "hostname": "vm000003",
- "transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
- }
- }
- {
- "resourceId": "/SUBSCRIPTIONS/A6F44B25-259E-4AF5-888A-386FED92C11B/RESOURCEGROUPS/DEMOWAF_V2/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
- "operationName": "ApplicationGatewayFirewall",
- "category": "ApplicationGatewayFirewallLog",
- "properties": {
- "instanceId": "appgw_3",
- "clientIp": "167.220.2.139",
- "clientPort": "",
- "requestUri": "\/",
- "ruleSetType": "",
- "ruleSetVersion": "",
- "ruleId": "0",
- "message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Inbound Score: 8 - SQLI=5,XSS=0,RFI=0,LFI=0,RCE=0,PHPI=0,HTTP=0,SESS=0): SQL Injection Attack: SQL Tautology Detected.",
- "action": "Blocked",
- "site": "Global",
- "details": {
- "message": "Warning. Operator GE matched 5 at TX:inbound_anomaly_score. ",
- "data": "",
- "file": "rules\/RESPONSE-980-CORRELATION.conf\\\"",
- "line": "73"
- },
- "hostname": "vm000003",
- "transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
- }
- }
من خلال معرفتك بكيفية عمل مجموعات قواعد CRS، وأن مجموعة قواعد CRS 3.0 تعمل مع نظام تسجيل نقاط شاذ (راجع جدار حماية تطبيق الويب لبوابة تطبيق Azure)، فأنت تعلم أن القاعدتين السفليتين مع الإجراء: يتم حظر الخاصية المحظورة استنادا إلى إجمالي درجة الشذوذ. القواعد التي يجب التركيز عليها هي أعلى اثنين.
يتم تسجيل الإدخال الأول لأن المستخدم استخدم عنوان IP رقميا للانتقال إلى "بوابة التطبيق"، والتي يمكن تجاهلها في هذه الحالة.
والثاني (القاعدة 942130) هو المثير للاهتمام. يمكنك أن ترى في التفاصيل أنه يطابق نمطا (1 = 1) ، ويسمى الحقل text1. اتبع نفس الخطوات السابقة لاستبعاد اسم سمة الطلب الذي يساوي 1 = 1.
البحث عن أسماء رؤوس الطلبات
Fiddler هي أداة مفيدة مرة أخرى للعثور على أسماء رؤوس الطلبات. في لقطة الشاشة التالية، يمكنك رؤية رؤوس طلب GET هذا، والتي تتضمن نوع المحتوىووكيل المستخدم وما إلى ذلك.
هناك طريقة أخرى لعرض رؤوس الطلبات والاستجابات وهي البحث داخل أدوات مطوري البرامج في Chrome. يمكنك الضغط على F12 أو النقر بزر الماوس الأيمن فوق ->فحص ->أدوات المطور، وتحديد علامة التبويب الشبكة . تحميل صفحة ويب، والنقر فوق الطلب الذي تريد فحصه.
العثور على أسماء ملفات تعريف الارتباط للطلب
إذا كان الطلب يحتوي على ملفات تعريف الارتباط ، فيمكن تحديد علامة التبويب ملفات تعريف الارتباط لعرضها في Fiddler.
تقييد المعلمات العالمية للقضاء على الإيجابيات الخاطئة
تعطيل فحص نص الطلب
من خلال تعيين نص طلب الفحص لإيقاف التشغيل، لن يتم تقييم هيئات الطلب لجميع حركة المرور من قبل WAF الخاص بك. قد يكون هذا مفيدا إذا كنت تعرف أن هيئات الطلب ليست ضارة بتطبيقك.
من خلال تعطيل هذا الخيار، لا يتم فحص نص الطلب فقط. تظل الرؤوس وملفات تعريف الارتباط قيد الفحص، ما لم يتم استبعاد الرؤوس الفردية باستخدام وظيفة قائمة الاستبعاد.
حدود حجم الملف
من خلال الحد من حجم الملف الخاص ب WAF الخاص بك ، فإنك تحد من إمكانية حدوث هجوم على خوادم الويب الخاصة بك. من خلال السماح بتحميل الملفات الكبيرة ، يزداد خطر إغراق الواجهة الخلفية. يعد تحديد حجم الملف إلى حالة استخدام عادية للتطبيق الخاص بك مجرد طريقة أخرى لمنع الهجمات.
ملاحظة
إذا كنت تعلم أن تطبيقك لن يحتاج أبدا إلى تحميل أي ملف أعلى من حجم معين، فيمكنك تقييد ذلك عن طريق تعيين حد.
مقاييس جدار الحماية (WAF_v1 فقط)
بالنسبة لجدران حماية تطبيقات الويب v1، تتوفر المقاييس التالية الآن في البوابة الإلكترونية:
- جدار حماية تطبيق ويب عدد الطلبات المحظورة عدد الطلبات التي تم حظرها
- جدار حماية تطبيق ويب تم حظر قاعدة عدد جميع القواعد التي تمت مطابقتها وتم حظر الطلب
- جدار حماية تطبيق ويب إجمالي توزيع القواعد كافة القواعد التي تمت مطابقتها أثناء التقييم
لتمكين المقاييس، حدد علامة التبويب المقاييس في البوابة الإلكترونية، وحدد أحد المقاييس الثلاثة.