Web Application Firewall szabályok testreszabása az Azure CLI használatával
A Azure Application Gateway Web Application Firewall (WAF) védelmet nyújt a webalkalmazásoknak. Ezeket a védelmet az Open Web Application Security Project (OWASP) alapvető szabálykészlete (CRS) biztosítja. Egyes szabályok téves riasztásokat okozhatnak, és blokkolhatják a valós forgalmat. Ezért Application Gateway lehetővé teszi a szabálycsoportok és szabályok testreszabását. Az adott szabálycsoportokkal és szabályokkal kapcsolatos további információkért lásd a Web Application Firewall CRS-szabálycsoportok és -szabályok listáját.
Szabálycsoportok és szabályok megtekintése
Az alábbi példakódok bemutatják, hogyan tekintheti meg a konfigurálható szabályokat és szabálycsoportokat.
Szabálycsoportok megtekintése
Az alábbi példa bemutatja, hogyan tekintheti meg a szabálycsoportokat:
az network application-gateway waf-config list-rule-sets --type OWASP
Az alábbi kimenet az előző példa csonkolt válasza:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Szabályok megtekintése szabálycsoportban
Az alábbi példa bemutatja, hogyan tekintheti meg a szabályokat egy adott szabálycsoportban:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
Az alábbi kimenet az előző példa csonkolt válasza:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Szabályok letiltása
Az alábbi példa letiltja a szabályokat 910018 és 910017 egy Alkalmazásátjárót:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Kötelező szabályok
Az alábbi lista olyan feltételeket tartalmaz, amelyek miatt a WAF blokkolja a kérést megelőzési módban (észlelési módban kivételként vannak naplózva). Ezek nem konfigurálhatók vagy tilthatók le:
- A kérelemtörzs elemzésének elmulasztása a kérelem letiltását eredményezi, kivéve, ha a törzsvizsgálat ki van kapcsolva (XML, JSON, űrlapadatok)
- A kérelemtörzs (fájlok nélkül) adathossza nagyobb, mint a konfigurált korlát
- A kérelem törzse (a fájlokat is beleértve) nagyobb a korlátnál
- Belső hiba történt a WAF-motorban
CRS 3.x specifikus:
- A bejövő anomáliadetektáció-pontszám túllépte a küszöbértéket
Következő lépések
A letiltott szabályok konfigurálása után megtudhatja, hogyan tekintheti meg a WAF-naplókat. További információ: Application Gateway diagnosztika.