Personalizzare le regole di Web application firewall con l'interfaccia della riga di comando di Azure
Il Web application firewall del gateway applicazione di Azure (WAF) protegge le Applicazioni Web. Queste protezioni vengono fornite dal Set di regole principali (CRS) di Open Web Application Security Project (OWASP). Alcune regole possono generare falsi positivi e bloccare il traffico reale. Per questo motivo, il gateway applicazione offre la possibilità di personalizzare regole e gruppi di regole. Per altre informazioni su regole e gruppi di regole specifici, vedere l'Elenco di regole e gruppi di regole CRS del Web application firewall.
Gli esempi di codice seguenti illustrano come visualizzare le regole e i gruppi di regole configurabili.
L'esempio seguente mostra come visualizzare i gruppi di regole:
az network application-gateway waf-config list-rule-sets --type OWASP
Di seguito è riportata una parte di risposta dell'esempio precedente:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
L'esempio seguente mostra come visualizzare le regole in un gruppo di regole specificato:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
Di seguito è riportata una parte di risposta dell'esempio precedente:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
L'esempio seguente disabilita le regole 910018
e 910017
in un gateway applicazione:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
L'elenco seguente contiene le condizioni che inducono il WAF a bloccare la richiesta in modalità prevenzione (in modalità rilevamento vengono registrate come eccezioni). Queste condizioni non possono essere configurate o disattivate:
- La mancata analisi del testo della richiesta comporta il blocco della richiesta stessa, a meno che l'ispezione del testo non sia disattivata (XML, JSON, dati del modulo)
- La lunghezza dei dati del testo della richiesta (senza file) è superiore al limite configurato
- Il testo della richiesta (inclusi i file) è di dimensioni superiori al limite
- Si è verificato un errore interno nel motore WAF
CRS 3.x specifico:
anomaly score
in ingresso ha superato la soglia
Dopo aver configurato le regole disattivate, viene descritto come visualizzare i log WAF. Per altre informazioni, vedere Diagnostica del gateway applicazione.