Dostosowywanie reguł Web Application Firewall przy użyciu programu PowerShell
Azure Application Gateway Web Application Firewall (WAF) zapewnia ochronę aplikacji internetowych. Te zabezpieczenia są udostępniane przez podstawowy zestaw reguł Open Web Application Security Project (OWASP) Core Rule Set (CRS). Niektóre reguły mogą powodować fałszywie dodatnie i blokować rzeczywisty ruch. Z tego powodu Application Gateway zapewnia możliwość dostosowywania grup reguł i reguł. Aby uzyskać więcej informacji na temat określonych grup reguł i reguł, zobacz Lista Web Application Firewall grup reguł i reguł CRS.
Wyświetlanie grup reguł i reguł
W poniższych przykładach kodu pokazano, jak wyświetlać reguły i grupy reguł konfigurowalne w bramie aplikacji internetowej z obsługą zapory aplikacji.
Wyświetlanie grup reguł
W poniższym przykładzie pokazano, jak wyświetlać grupy reguł:
Get-AzApplicationGatewayAvailableWafRuleSets
Następujące dane wyjściowe to obcięta odpowiedź z poprzedniego przykładu:
OWASP (Ver. 3.0):
General:
Description:
Rules:
RuleId Description
------ -----------
200004 Possible Multipart Unmatched Boundary.
REQUEST-911-METHOD-ENFORCEMENT:
Description:
Rules:
RuleId Description
------ -----------
911011 Rule 911011
911012 Rule 911012
911100 Method is not allowed by policy
911013 Rule 911013
911014 Rule 911014
911015 Rule 911015
911016 Rule 911016
911017 Rule 911017
911018 Rule 911018
REQUEST-913-SCANNER-DETECTION:
Description:
Rules:
RuleId Description
------ -----------
913011 Rule 913011
913012 Rule 913012
913100 Found User-Agent associated with security scanner
913110 Found request header associated with security scanner
913120 Found request filename/argument associated with security scanner
913013 Rule 913013
913014 Rule 913014
913101 Found User-Agent associated with scripting/generic HTTP client
913102 Found User-Agent associated with web crawler/bot
913015 Rule 913015
913016 Rule 913016
913017 Rule 913017
913018 Rule 913018
... ...
Wyłączanie reguł
Poniższy przykład wyłącza reguły 911011
i 911012
bramę aplikacji:
$disabledrules=New-AzApplicationGatewayFirewallDisabledRuleGroupConfig -RuleGroupName REQUEST-911-METHOD-ENFORCEMENT -Rules 911011,911012
Set-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $gw -Enabled $true -FirewallMode Detection -RuleSetVersion 3.0 -RuleSetType OWASP -DisabledRuleGroups $disabledrules
Set-AzApplicationGateway -ApplicationGateway $gw
Obowiązkowe reguły
Poniższa lista zawiera warunki, które powodują, że zapora aplikacji internetowej blokuje żądanie w trybie zapobiegania (w trybie wykrywania są rejestrowane jako wyjątki). Nie można ich skonfigurować ani wyłączyć:
- Nie można przeanalizować treści żądania powoduje zablokowanie żądania, chyba że inspekcja treści jest wyłączona (XML, JSON, dane formularza)
- Długość danych żądania (bez plików) jest większa niż skonfigurowany limit
- Treść żądania (w tym pliki) jest większa niż limit
- Wystąpił błąd wewnętrzny w afiszcie zapory aplikacji internetowej
Specyficzny dla crS 3.x:
- Wynik anomalii dla ruchu przychodzącego przekroczył próg
Następne kroki
Po skonfigurowaniu reguł wyłączonych możesz dowiedzieć się, jak wyświetlać dzienniki zapory aplikacji internetowej. Aby uzyskać więcej informacji, zobacz Application Gateway Diagnostyka.