Přizpůsobení pravidel firewallu webových aplikací pomocí Azure CLI
Firewall webových aplikací (WAF) Aplikace Azure lication Gateway poskytuje ochranu webových aplikací. Tyto ochrany poskytuje základní sada pravidel CRS (Open Web Application Security Project) (OWASP). Některá pravidla můžou způsobit falešně pozitivní výsledky a blokovat skutečný provoz. Z tohoto důvodu poskytuje Služba Application Gateway možnost přizpůsobit skupiny pravidel a pravidla. Další informace o konkrétních skupinách a pravidlech pravidel naleznete v tématu Seznam skupin a pravidel CRS firewallu webových aplikací.
Zobrazení skupin pravidel a pravidel
Následující příklady kódu ukazují, jak zobrazit pravidla a skupiny pravidel, které lze konfigurovat.
Zobrazení skupin pravidel
Následující příklad ukazuje, jak zobrazit skupiny pravidel:
az network application-gateway waf-config list-rule-sets --type OWASP
Následující výstup je zkrácená odpověď z předchozího příkladu:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Zobrazení pravidel ve skupině pravidel
Následující příklad ukazuje, jak zobrazit pravidla v zadané skupině pravidel:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
Následující výstup je zkrácená odpověď z předchozího příkladu:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Zakázání pravidel
Následující příklad zakáže pravidla 910018 a 910017 službu Application Gateway:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Povinná pravidla
Následující seznam obsahuje podmínky, které způsobí, že WAF zablokuje požadavek v režimu prevence (v režimu detekce jsou zaprotokolovány jako výjimky). Tyto podmínky není možné konfigurovat ani zakázat:
- Při analýze textu požadavku dojde k zablokování požadavku, pokud není vypnutá kontrola těla (XML, JSON, data formuláře).
- Text požadavku (bez souborů) je větší než nakonfigurovaný limit.
- Text požadavku (včetně souborů) je větší než limit.
- V modulu WAF došlo k vnitřní chybě.
Specifické pro CRS 3.x:
anomaly scorePříchozí překročení prahové hodnoty
Další kroky
Po nakonfigurování zakázaných pravidel se dozvíte, jak zobrazit protokoly WAF. Další informace najdete v tématu Diagnostika služby Application Gateway.