Personalizzare le regole del Web Application Firewall usando l'interfaccia della riga di comando di AzureCustomize Web Application Firewall rules using the Azure CLI

Il firewall applicazione Web del gateway applicazione Azure (WAF) fornisce la protezione per le applicazioni Web.The Azure Application Gateway Web Application Firewall (WAF) provides protection for web applications. Queste protezioni vengono fornite dal Set di regole principali (CRS) di Open Web Application Security Project (OWASP).These protections are provided by the Open Web Application Security Project (OWASP) Core Rule Set (CRS). Alcune regole possono generare falsi positivi e bloccare il traffico reale.Some rules can cause false positives and block real traffic. Per questo motivo, il gateway applicazione offre la possibilità di personalizzare regole e gruppi di regole.For this reason, Application Gateway provides the capability to customize rule groups and rules. Per ulteriori informazioni sulle regole e sui gruppi di regole specifici, vedere l' elenco delle regole e dei gruppi di regole CRS del Web Application Firewall.For more information on the specific rule groups and rules, see List of Web Application Firewall CRS rule groups and rules.

Visualizzare le regole e i gruppi di regoleView rule groups and rules

Gli esempi di codice seguenti illustrano come visualizzare le regole e i gruppi di regole configurabili.The following code examples show how to view rules and rule groups that are configurable.

Visualizzare i gruppi di regoleView rule groups

L'esempio seguente mostra come visualizzare i gruppi di regole:The following example shows how to view the rule groups:

az network application-gateway waf-config list-rule-sets --type OWASP

Di seguito è riportata una parte di risposta dell'esempio precedente:The following output is a truncated response from the preceding example:

[
  {
    "id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
    "location": null,
    "name": "OWASP_3.0",
    "provisioningState": "Succeeded",
    "resourceGroup": "",
    "ruleGroups": [
      {
        "description": "",
        "ruleGroupName": "REQUEST-910-IP-REPUTATION",
        "rules": null
      },
      ...
    ],
    "ruleSetType": "OWASP",
    "ruleSetVersion": "3.0",
    "tags": null,
    "type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
  },
  {
    "id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
    "location": null,
    "name": "OWASP_2.2.9",
    "provisioningState": "Succeeded",
    "resourceGroup": "",
   "ruleGroups": [
      {
        "description": "",
        "ruleGroupName": "crs_20_protocol_violations",
        "rules": null
      },
      ...
    ],
    "ruleSetType": "OWASP",
    "ruleSetVersion": "2.2.9",
    "tags": null,
    "type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
  }
]

Visualizzare le regole in un gruppo di regoleView rules in a rule group

L'esempio seguente mostra come visualizzare le regole in un gruppo di regole specificato:The following example shows how to view rules in a specified rule group:

az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"

Di seguito è riportata una parte di risposta dell'esempio precedente:The following output is a truncated response from the preceding example:

[
  {
    "id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
    "location": null,
    "name": "OWASP_3.0",
    "provisioningState": "Succeeded",
    "resourceGroup": "",
    "ruleGroups": [
      {
        "description": "",
        "ruleGroupName": "REQUEST-910-IP-REPUTATION",
        "rules": [
          {
            "description": "Rule 910011",
            "ruleId": 910011
          },
          ...
        ]
      }
    ],
    "ruleSetType": "OWASP",
    "ruleSetVersion": "3.0",
    "tags": null,
    "type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
  }
]

Disabilitare le regoleDisable rules

L'esempio seguente disabilita le regole 910018 e 910017 in un gateway applicazione:The following example disables rules 910018 and 910017 on an application gateway:

az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017

Regole obbligatorieMandatory rules

L'elenco seguente contiene le condizioni che determinano il blocco della richiesta da parte di WAF in modalità di prevenzione (in modalità di rilevamento vengono registrate come eccezioni).The following list contains conditions that cause the WAF to block the request while in Prevention Mode (in Detection Mode they are logged as exceptions). Non possono essere configurati o disabilitati:These can't be configured or disabled:

  • Se non si analizza il corpo della richiesta, la richiesta viene bloccata, a meno che l'ispezione del corpo non sia spenta (XML, JSON, dati del modulo)Failure to parse the request body results in the request being blocked, unless body inspection is turned off (XML, JSON, form data)
  • La lunghezza dei dati del corpo della richiesta senza file è superiore al limite configuratoRequest body (with no files) data length is larger than the configured limit
  • Il corpo della richiesta (inclusi i file) è più grande del limiteRequest body (including files) is larger than the limit
  • Si è verificato un errore interno nel motore WAFAn internal error happened in the WAF engine

Specifico CRS 3. x:CRS 3.x specific:

  • Il Punteggio di anomalie in ingresso ha superato la sogliaInbound anomaly score exceeded threshold

Passaggi successiviNext steps

Dopo aver configurato le regole disattivate, viene descritto come visualizzare i log WAF.After you configure your disabled rules, you can learn how to view your WAF logs. Per altre informazioni, vedere Diagnostica del gateway applicazione.For more information, see Application Gateway diagnostics.