Personalizzare le regole di Web application firewall tramite PowerShell
Il gateway applicazione di Azure Web application firewall (WAF) fornisce protezione per le applicazioni Web. Queste protezioni vengono fornite dal Set di regole principali (CRS) di Open Web Application Security Project (OWASP). Alcune regole possono generare falsi positivi e bloccare il traffico reale. Per questo motivo, il gateway applicazione offre la possibilità di personalizzare regole e gruppi di regole. Per altre informazioni sui gruppi di regole e le regole specifici, vedere Elenco di Web application firewall regole e gruppi di regole CRS.
Visualizzare le regole e i gruppi di regole
Gli esempi di codice seguenti illustrano come visualizzare le regole e i gruppi di regole configurabili in un gateway applicazione abilitato per il web application firewall (WAF).
Visualizzare i gruppi di regole
L'esempio seguente mostra come visualizzare i gruppi di regole:
Get-AzApplicationGatewayAvailableWafRuleSets
Di seguito è riportata una parte di risposta dell'esempio precedente:
OWASP (Ver. 3.0):
General:
Description:
Rules:
RuleId Description
------ -----------
200004 Possible Multipart Unmatched Boundary.
REQUEST-911-METHOD-ENFORCEMENT:
Description:
Rules:
RuleId Description
------ -----------
911011 Rule 911011
911012 Rule 911012
911100 Method is not allowed by policy
911013 Rule 911013
911014 Rule 911014
911015 Rule 911015
911016 Rule 911016
911017 Rule 911017
911018 Rule 911018
REQUEST-913-SCANNER-DETECTION:
Description:
Rules:
RuleId Description
------ -----------
913011 Rule 913011
913012 Rule 913012
913100 Found User-Agent associated with security scanner
913110 Found request header associated with security scanner
913120 Found request filename/argument associated with security scanner
913013 Rule 913013
913014 Rule 913014
913101 Found User-Agent associated with scripting/generic HTTP client
913102 Found User-Agent associated with web crawler/bot
913015 Rule 913015
913016 Rule 913016
913017 Rule 913017
913018 Rule 913018
... ...
Disabilitare le regole
L'esempio seguente disabilita le regole 911011
e 911012
in un gateway applicazione:
$disabledrules=New-AzApplicationGatewayFirewallDisabledRuleGroupConfig -RuleGroupName REQUEST-911-METHOD-ENFORCEMENT -Rules 911011,911012
Set-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $gw -Enabled $true -FirewallMode Detection -RuleSetVersion 3.0 -RuleSetType OWASP -DisabledRuleGroups $disabledrules
Set-AzApplicationGateway -ApplicationGateway $gw
Regole obbligatorie
L'elenco seguente contiene condizioni che causano il blocco della richiesta da parte di WAF in modalità di prevenzione (in modalità di rilevamento registrate come eccezioni). Non è possibile configurarli o disabilitarli:
- Se non si analizza il corpo della richiesta, la richiesta viene bloccata, a meno che l'ispezione del corpo non sia disattivata (XML, JSON, dati del modulo)
- La lunghezza dei dati del corpo della richiesta (senza file) è maggiore del limite configurato
- Il corpo della richiesta (inclusi i file) è maggiore del limite
- Si è verificato un errore interno nel motore WAF
CRS 3.x specifico:
- Il punteggio anomalie in ingresso ha superato la soglia
Passaggi successivi
Dopo aver configurato le regole disattivate, viene descritto come visualizzare i log WAF. Per altre informazioni, vedere gateway applicazione Diagnostica.