Personalizzare le regole di Web application firewall con l'interfaccia della riga di comando di Azure

Il Web application firewall del gateway applicazione di Azure (WAF) protegge le Applicazioni Web. Queste protezioni vengono fornite dal Set di regole principali (CRS) di Open Web Application Security Project (OWASP). Alcune regole possono generare falsi positivi e bloccare il traffico reale. Per questo motivo, il gateway applicazione offre la possibilità di personalizzare regole e gruppi di regole. Per altre informazioni su regole e gruppi di regole specifici, vedere l'Elenco di regole e gruppi di regole CRS del Web application firewall.

Visualizzare le regole e i gruppi di regole

Gli esempi di codice seguenti illustrano come visualizzare le regole e i gruppi di regole configurabili.

Visualizzare i gruppi di regole

L'esempio seguente mostra come visualizzare i gruppi di regole:

az network application-gateway waf-config list-rule-sets --type OWASP

Di seguito è riportata una parte di risposta dell'esempio precedente:

[
  {
    "id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
    "location": null,
    "name": "OWASP_3.0",
    "provisioningState": "Succeeded",
    "resourceGroup": "",
    "ruleGroups": [
      {
        "description": "",
        "ruleGroupName": "REQUEST-910-IP-REPUTATION",
        "rules": null
      },
      ...
    ],
    "ruleSetType": "OWASP",
    "ruleSetVersion": "3.0",
    "tags": null,
    "type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
  },
  {
    "id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
    "location": null,
    "name": "OWASP_2.2.9",
    "provisioningState": "Succeeded",
    "resourceGroup": "",
   "ruleGroups": [
      {
        "description": "",
        "ruleGroupName": "crs_20_protocol_violations",
        "rules": null
      },
      ...
    ],
    "ruleSetType": "OWASP",
    "ruleSetVersion": "2.2.9",
    "tags": null,
    "type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
  }
]

Visualizzare le regole in un gruppo di regole

L'esempio seguente mostra come visualizzare le regole in un gruppo di regole specificato:

az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"

Di seguito è riportata una parte di risposta dell'esempio precedente:

[
  {
    "id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
    "location": null,
    "name": "OWASP_3.0",
    "provisioningState": "Succeeded",
    "resourceGroup": "",
    "ruleGroups": [
      {
        "description": "",
        "ruleGroupName": "REQUEST-910-IP-REPUTATION",
        "rules": [
          {
            "description": "Rule 910011",
            "ruleId": 910011
          },
          ...
        ]
      }
    ],
    "ruleSetType": "OWASP",
    "ruleSetVersion": "3.0",
    "tags": null,
    "type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
  }
]

Disabilitare le regole

L'esempio seguente disabilita le regole 910018 e 910017 in un gateway applicazione:

az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017

Regole obbligatorie

L'elenco seguente contiene le condizioni che inducono il WAF a bloccare la richiesta in modalità prevenzione (in modalità rilevamento vengono registrate come eccezioni). Queste condizioni non possono essere configurate o disattivate:

  • La mancata analisi del testo della richiesta comporta il blocco della richiesta stessa, a meno che l'ispezione del testo non sia disattivata (XML, JSON, dati del modulo)
  • La lunghezza dei dati del testo della richiesta (senza file) è superiore al limite configurato
  • Il testo della richiesta (inclusi i file) è di dimensioni superiori al limite
  • Si è verificato un errore interno nel motore WAF

CRS 3.x specifico:

  • anomaly score in ingresso ha superato la soglia

Passaggi successivi

Dopo aver configurato le regole disattivate, viene descritto come visualizzare i log WAF. Per altre informazioni, vedere Diagnostica del gateway applicazione.