Personalizzare le regole del Web application firewall con PowerShell

Il Web application firewall del gateway applicazione di Azure (WAF) protegge le Applicazioni Web. Queste protezioni vengono fornite dal Set di regole principali (CRS) di Open Web Application Security Project (OWASP). Alcune regole possono generare falsi positivi e bloccare il traffico reale. Per questo motivo, il gateway applicazione offre la possibilità di personalizzare regole e gruppi di regole. Per altre informazioni su regole e gruppi di regole specifici, vedere l'Elenco di regole e gruppi di regole CRS del Web application firewall.

Visualizzare le regole e i gruppi di regole

Gli esempi di codice seguenti illustrano come visualizzare le regole e i gruppi di regole configurabili in un gateway applicazione abilitato per il web application firewall (WAF).

Visualizzare i gruppi di regole

L'esempio seguente mostra come visualizzare i gruppi di regole:

Get-AzApplicationGatewayAvailableWafRuleSets

Di seguito è riportata una parte di risposta dell'esempio precedente:

OWASP (Ver. 3.0):

    General:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            200004     Possible Multipart Unmatched Boundary.

    REQUEST-911-METHOD-ENFORCEMENT:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            911011     Rule 911011
            911012     Rule 911012
            911100     Method is not allowed by policy
            911013     Rule 911013
            911014     Rule 911014
            911015     Rule 911015
            911016     Rule 911016
            911017     Rule 911017
            911018     Rule 911018

    REQUEST-913-SCANNER-DETECTION:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            913011     Rule 913011
            913012     Rule 913012
            913100     Found User-Agent associated with security scanner
            913110     Found request header associated with security scanner
            913120     Found request filename/argument associated with security scanner
            913013     Rule 913013
            913014     Rule 913014
            913101     Found User-Agent associated with scripting/generic HTTP client
            913102     Found User-Agent associated with web crawler/bot
            913015     Rule 913015
            913016     Rule 913016
            913017     Rule 913017
            913018     Rule 913018

            ...        ...

Disabilitare le regole

L'esempio seguente disabilita le regole 911011 e 911012 in un gateway applicazione:

$disabledrules=New-AzApplicationGatewayFirewallDisabledRuleGroupConfig -RuleGroupName REQUEST-911-METHOD-ENFORCEMENT -Rules 911011,911012
Set-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $gw -Enabled $true -FirewallMode Detection -RuleSetVersion 3.0 -RuleSetType OWASP -DisabledRuleGroups $disabledrules
Set-AzApplicationGateway -ApplicationGateway $gw

Regole obbligatorie

L'elenco seguente contiene le condizioni che inducono il WAF a bloccare la richiesta in modalità prevenzione (in modalità rilevamento vengono registrate come eccezioni). Queste non possono essere configurate o disattivate:

  • La mancata analisi del testo della richiesta comporta il blocco della richiesta stessa, a meno che l'ispezione del testo non sia disattivata (XML, JSON, dati del modulo)
  • La lunghezza dei dati del testo della richiesta (senza file) è superiore al limite configurato
  • Il testo della richiesta (inclusi i file) è di dimensioni superiori al limite
  • Si è verificato un errore interno nel motore WAF

CRS 3.x specifico:

  • Il punteggio di anomalia in ingresso ha superato il valore soglia

Passaggi successivi

Dopo aver configurato le regole disattivate, viene descritto come visualizzare i log WAF. Per altre informazioni, vedere Diagnostica del gateway applicazione.