Personalizzare le regole di Web application firewall usando l'interfaccia della riga di comando di Azure
Il gateway applicazione di Azure Web application firewall (WAF) fornisce protezione per le applicazioni Web. Queste protezioni vengono fornite dal Set di regole principali (CRS) di Open Web Application Security Project (OWASP). Alcune regole possono generare falsi positivi e bloccare il traffico reale. Per questo motivo, il gateway applicazione offre la possibilità di personalizzare regole e gruppi di regole. Per altre informazioni sui gruppi di regole e le regole specifici, vedere Elenco di Web application firewall regole e gruppi di regole CRS.
Visualizzare le regole e i gruppi di regole
Gli esempi di codice seguenti illustrano come visualizzare le regole e i gruppi di regole configurabili.
Visualizzare i gruppi di regole
L'esempio seguente mostra come visualizzare i gruppi di regole:
az network application-gateway waf-config list-rule-sets --type OWASP
Di seguito è riportata una parte di risposta dell'esempio precedente:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Visualizzare le regole in un gruppo di regole
L'esempio seguente mostra come visualizzare le regole in un gruppo di regole specificato:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
Di seguito è riportata una parte di risposta dell'esempio precedente:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Disabilitare le regole
L'esempio seguente disabilita le regole 910018 e 910017 in un gateway applicazione:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Regole obbligatorie
L'elenco seguente contiene condizioni che causano il blocco della richiesta da parte del WAF in modalità di prevenzione (in modalità di rilevamento registrate come eccezioni). Queste condizioni non possono essere configurate o disabilitate:
- Se non si analizza il corpo della richiesta, la richiesta viene bloccata, a meno che l'ispezione del corpo non sia disattivata (XML, JSON, dati del modulo)
- La lunghezza dei dati del corpo della richiesta (senza file) è maggiore del limite configurato
- Il corpo della richiesta (inclusi i file) è maggiore del limite
- Si è verificato un errore interno nel motore WAF
CRS 3.x specifico:
- Soglia superata in ingresso
anomaly score
Passaggi successivi
Dopo aver configurato le regole disattivate, viene descritto come visualizzare i log WAF. Per altre informazioni, vedere Diagnostica del gateway applicazione.