Azure CLI kullanarak Web Uygulaması Güvenlik Duvarı kurallarını özelleştirme
Azure Application Gateway Web Uygulaması Güvenlik Duvarı (WAF), web uygulamaları için koruma sağlar. Bu korumalar Open Web Application Security Project (OWASP) Çekirdek Kural Kümesi (CRS) tarafından sağlanır. Bazı kurallar hatalı pozitiflere neden olabilir ve gerçek trafiği engelleyebilir. Bu nedenle, Application Gateway kural gruplarını ve kuralları özelleştirme özelliği sağlar. Belirli kural grupları ve kuralları hakkında daha fazla bilgi için bkz. Web Uygulaması Güvenlik Duvarı CRS kural grupları ve kuralları listesi.
Kural gruplarını ve kurallarını görüntüleme
Aşağıdaki kod örnekleri, yapılandırılabilir kuralların ve kural gruplarının nasıl görüntülendiğini gösterir.
Kural gruplarını görüntüleme
Aşağıdaki örnek, kural gruplarının nasıl görüntüleyebileceğinizi gösterir:
az network application-gateway waf-config list-rule-sets --type OWASP
Aşağıdaki çıkış, önceki örnekten kesilmiş bir yanıttır:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Kural grubundaki kuralları görüntüleme
Aşağıdaki örnek, belirtilen bir kural grubundaki kuralların nasıl görüntüleyebileceğinizi gösterir:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
Aşağıdaki çıkış, önceki örnekten kesilmiş bir yanıttır:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Kuralları devre dışı bırakma
Aşağıdaki örnek, kuralları 910018
ve 910017
uygulama ağ geçidinde devre dışı bırakır:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Zorunlu kurallar
Aşağıdaki liste, WAF'nin Önleme Modu'nda (Algılama Modu'nda özel durum olarak günlüğe kaydedilir) isteği engellemesine neden olan koşulları içerir. Bu koşullar yapılandırılamaz veya devre dışı bırakılamaz:
- Gövde incelemesi kapatılmadığı sürece istek gövdesinin ayrıştırılamaması, isteğin engellenmesiyle sonuçlanır (XML, JSON, form verileri)
- İstek gövdesi (dosya olmadan) veri uzunluğu yapılandırılan sınırdan daha büyük
- İstek gövdesi (dosyalar dahil) sınırdan büyük
- WAF altyapısında bir iç hata oluştu
CRS 3.x'e özgü:
- Gelen
anomaly score
eşiği aştı
Sonraki adımlar
Devre dışı bırakılan kurallarınızı yapılandırdıktan sonra WAF günlüklerinizi görüntülemeyi öğrenebilirsiniz. Daha fazla bilgi için bkz. tanılama Application Gateway.