Web Uygulaması Güvenlik Duvarı isteği ve dosya karşıya yükleme boyutu sınırları
Web Uygulaması Güvenlik Duvarı, istek boyutu sınırlarını alt ve üst sınır içinde yapılandırmanıza olanak tanır. Application Gateway'ler Web Uygulaması Güvenlik Duvarı Çekirdek Kural Kümesi 3.2 veya üzerini çalıştırıyorsa, istekler ve/veya dosya yüklemeleri için maksimum boyut zorlamasını devre dışı bırakma özelliği de dahil olmak üzere daha fazla istek ve dosya karşıya yükleme boyutu denetimine sahiptir.
Önemli
Application Gateway v2 Web Uygulaması Güvenlik Duvarı çekirdek kural kümesi 3.2 veya üzerini çalıştıran ve istek gövdesi boyutunuz, dosya karşıya yükleme boyutunuz ve istek gövdesi denetiminizin daha fazla denetlenmesini sağlayan yeni bir özellik dağıtma sürecindeyiz. Application Gateway v2 Web Uygulaması Güvenlik Duvarı Çekirdek Kural Kümesi 3.2 veya üzerini çalıştırıyorsanız ve boyut sınırı için isteklerin reddedildiğini (veya reddedilmediğini) fark ederseniz lütfen bu sayfanın altındaki sorun giderme adımlarına bakın.
Sınırlar
İstek gövdesi boyutu alanı ve dosya karşıya yükleme boyutu sınırı, Web Uygulaması Güvenlik Duvarı içinde yapılandırılabilir. Maksimum istek gövdesi boyutu alanı kilobayt cinsinden belirtilir ve tüm dosya yüklemelerini hariç tutarak genel istek boyutu sınırını denetler. Dosya karşıya yükleme sınırı alanı megabayt cinsinden belirtilir ve izin verilen en büyük dosya karşıya yükleme boyutunu yönetir. İstek boyutu sınırları ve dosya karşıya yükleme boyutu sınırı için bkz . Application Gateway sınırları.
Application Gateway v2 Web Uygulaması Güvenlik Duvarı Çekirdek Kural Kümesi 3.2 veya daha yeni bir sürümünü çalıştırıyorsa, en fazla istek gövdesi boyutu zorlaması ve maksimum dosya karşıya yükleme boyutu zorlaması devre dışı bırakılabilir ve Web Uygulaması Güvenlik Duvarı artık çok büyük olduğu için bir isteği veya dosya yüklemeyi reddetmez. Web Uygulaması Güvenlik Duvarı içinde en fazla istek gövdesi boyutu zorlaması ve maksimum dosya karşıya yükleme boyutu zorlaması devre dışı bırakıldığında, Application Gateway'in sınırları izin verilen boyut üst sınırını belirler. Daha fazla bilgi için bkz . Application Gateway sınırları.
Dosya yüklemeleri için yalnızca İçerik Türü çok parçalı/form-verili istekler dikkate alınır. İçeriğin dosya karşıya yükleme olarak kabul edilmesi için dosya adı üst bilgisi içeren çok bölümlü bir formun parçası olması gerekir. Diğer tüm içerik türleri için istek gövdesi boyutu sınırı uygulanır.
Not
Çekirdek Kural Kümesi 3.2 veya üzerini çalıştırıyorsanız ve bir isteğin üst bilgileri, tanımlama bilgileri veya URI içeriğine göre eylemde bulunan yüksek öncelikli bir özel kuralınız varsa, bu, tüm maksimum istek boyutu veya en yüksek dosya karşıya yükleme boyutu, sınırlarına göre öncelikli olur. Bu iyileştirme, Web Uygulaması Güvenlik Duvarı önce tam isteğin okunmasını gerektirmeyen yüksek öncelikli özel kuralları çalıştırmasına olanak sağlar.
Örnek: xyz üst bilgisine sahip bir isteğe izin vermek için 0 (en yüksek öncelik) önceliğine sahip özel bir kuralınız varsa, isteğin boyutu en büyük istek boyutu sınırınızdan büyük olsa bile, maksimum boyut sınırı uygulanmadan önce izin verilir
Gövde incelemesi isteme
Web Uygulaması Güvenlik Duvarı, istek gövdesi incelemesini etkinleştirmek veya devre dışı bırakmak için bir yapılandırma ayarı sunar. Varsayılan olarak istek gövdesi denetimi etkinleştirilir. İstek gövdesi denetimi devre dışı bırakılırsa, Web Uygulaması Güvenlik Duvarı http iletisinin gövdesinin içeriğini değerlendirmez. Bu gibi durumlarda, Web Uygulaması Güvenlik Duvarı üst bilgiler, tanımlama bilgileri ve URI'lerde Web Uygulaması Güvenlik Duvarı kurallarını zorlamaya devam eder. çekirdek kural kümesi 3.1 (veya daha düşük) çalıştıran Web Uygulaması Güvenlik Duvarı, istek gövdesi incelemesi kapalıysa, istek gövdesi boyutu üst sınırı alanı geçerli değildir ve ayarlanamaz.
Çekirdek Kural Kümesi 3.2 (veya daha yeni) çalıştıran İlke Web Uygulaması Güvenlik Duvarı için istek gövdesi denetimi, istek gövdesi boyutu zorlama ve dosya karşıya yükleme boyutu sınırlarından bağımsız olarak etkinleştirilebilir/devre dışı bırakılabilir. Ayrıca, Çekirdek Kural Kümesi 3.2 (veya daha yeni) çalıştıran ilke Web Uygulaması Güvenlik Duvarı, istek gövdesi boyutu üst sınırından bağımsız olarak maksimum istek gövdesi denetim sınırını ayarlayabilir. İstek gövdesi denetim üst sınırı, Web Uygulaması Güvenlik Duvarı bir isteğin kuralları ne kadar derinde inceleyip uygulaması gerektiğini bildirir; bu alan için daha düşük bir değer ayarlamak Web Uygulaması Güvenlik Duvarı performansı iyileştirebilir, ancak istenmeyen kötü amaçlı içeriklerin Web Uygulaması Güvenlik Duvarı.
Çekirdek Kural Kümesi 3.1 (veya daha düşük) çalıştıran eski Web Uygulaması Güvenlik Duvarı için, istek gövdesi denetimini kapatmak 128 KB'tan büyük iletilerin Web Uygulaması Güvenlik Duvarı gönderilmesine olanak tanır, ancak ileti gövdesi güvenlik açıkları açısından incelenmez. Çekirdek Kural Kümesi 3.2 (veya daha yeni) çalıştıran İlke Web Uygulaması Güvenlik Duvarı için, istek gövdesi üst sınırını devre dışı bırakarak aynı sonuca ulaşabilirsiniz.
Web Uygulaması Güvenlik Duvarı boyut sınırını aşan bir istek aldığında davranış, Web Uygulaması Güvenlik Duvarı modunuza ve kullandığınız yönetilen kural kümesinin sürümüne bağlıdır.
- Web Uygulaması Güvenlik Duvarı ilkeniz önleme modundayken, boyut sınırlarını aşan istekleri ve dosya yüklemelerini Web Uygulaması Güvenlik Duvarı ve engeller.
- Web Uygulaması Güvenlik Duvarı ilkeniz algılama modundayken Web Uygulaması Güvenlik Duvarı gövdeyi belirtilen sınıra kadar inceler ve gerisini yoksayar.
Content-Length
Üst bilgi varsa ve dosya yükleme sınırından büyükse, Web Uygulaması Güvenlik Duvarı tüm gövdeyi yoksayar ve isteği günlüğe kaydeder.
Sorun giderme
Application Gateway v2 Web Uygulaması Güvenlik Duvarı Çekirdek Kural Kümesi 3.2 veya üzerini çalıştıran bir müşteriyseniz ve istekler veya dosya yüklemeleriyle ilgili sorunlarınız varsa, maksimum boyut için yanlış reddediliyorsanız veya isteklerin tam olarak incelenmediğini görüyorsanız, tüm değerlerin doğru ayarlandığını doğrulamanız gerekebilir. PowerShell'i veya Azure Komut Satırı Arabirimi'ni kullanarak her değerin ne olarak ayarlandığını doğrulayabilir ve gereken değerleri güncelleştirebilirsiniz.
İstek gövdesi incelemeyi zorunlu kılma
- PowerShell: "RequestBodyCheck"
- CLI: "request_body_check"
- Web Uygulaması Güvenlik Duvarı istek gövdesini inceleyip Web Uygulaması Güvenlik Duvarı ilkenizin ayarlarına göre yönetilen ve özel kuralları istek gövdesi trafiğine uygulayıp uygulamayacağını denetler.
Maksimum istek gövdesi inceleme sınırı (KB)
- PowerShell: "RequestBodyInspectLimitInKB"
- CLI: "request_body_inspect_limit_in_kb"
- Web Uygulaması Güvenlik Duvarı bir istek gövdesinin ne kadar derinlerinde yönetilen/özel kuralları inceleyip uyguladığını denetler. Genel olarak bakıldığında, bunu mümkün olan en yüksek ayara ayarlamak istersiniz, ancak bazı müşteriler performansı artırmak için bunu daha düşük bir değere ayarlamak isteyebilir.
İstek gövdesi sınırı üst sınırını zorlama
- PowerShell: "RequestBodyEnforcement"
- CLI: "request_body_enforcement"
- Web Uygulaması Güvenlik Duvarı istek gövdelerinde maksimum boyut sınırı uygulayıp zorlamadığını denetleyin; kapatıldığında çok büyük olduğu için hiçbir isteği reddetmez.
İstek gövdesi boyutu üst sınırı (KB)
- PowerShell: "MaxRequestBodySizeInKB"
- CLI: "max_request_body_size_in_kb"
- Web Uygulaması Güvenlik Duvarı boyut üst sınırını aştığı için reddetmeden önce istek gövdesinin ne kadar büyük olabileceğini denetler.
Dosya karşıya yükleme sınırı üst sınırını zorlama
- PowerShell: "FileUploadEnforcement"
- CLI: "file_upload_enforcement"
- Web Uygulaması Güvenlik Duvarı dosya yüklemelerinde maksimum boyut sınırı uygulayıp zorlamadığını denetler; kapatıldığında çok büyük olması için hiçbir dosya yüklemesini reddetmez.
Dosya karşıya yükleme boyutu üst sınırı (MB)
- PowerShell: "FileUploadLimitInMB"
- CLI: file_upload_limit_in_mb
- Web Uygulaması Güvenlik Duvarı en büyük boyut ayarını aştığı için dosyayı reddetmeden önce karşıya yüklemenin ne kadar büyük olabileceğini denetler.
Not
"İstek gövdesini denetle" daha önce istek gövdesinin incelenip denetlenmediğini ve kuralların uygulanıp uygulanmadığını ve istek gövdelerinde maksimum boyut sınırının uygulanıp uygulanmadığını denetler. Şimdi bu, bağımsız olarak AÇILABILEN/KAPALI olarak açilebilen iki ayrı alan tarafından işlenir.
PowerShell
Azure ilkenizi döndürmek ve geçerli ayarlarına bakmak için aşağıdaki PowerShell komutlarını kullanabilirsiniz.
$plcy = Get-AzApplicationGatewayFirewallPolicy -Name <policy-name> -ResourceGroupName <resourcegroup-name>
$plcy.PolicySettings
İlke ayarlarını inceleme sınırı ve maksimum boyut sınırlaması ile ilgili alanlar için istenen değerlere güncelleştirmek için bu komutları kullanabilirsiniz. Aşağıdaki örnekte güncelleştirmek istediğiniz diğer değerlerden biri için 'RequestBodyEnforcement' öğesini değiştirebilirsiniz.
$plcy = Get-AzApplicationGatewayFirewallPolicy -Name <policy-name> -ResourceGroupName <resourcegroup-name>
$plcy.PolicySettings.RequestBodyEnforcement=false
Set-AzApplicationGatewayFirewallPolicy -InputObject $plcy
- Web Uygulaması Güvenlik Duvarı İlkesi alma
- İlke Ayarları Özellikleri
- İlke Ayarları Sınıfı
- Yeni İlke Ayarları
Komut satırı arabirimi
Azure ilke ayarlarınızdan bu alanların geçerli değerlerini döndürmek ve bu komutları kullanarak alanları istenen değerlere güncelleştirmek için Azure CLI'yi kullanabilirsiniz.
az network application-gateway waf-policy update --name <WAF Policy name> --resource-group <WAF policy RG> --set policySettings.request_body_inspect_limit_in_kb='128' policySettings.max_request_body_size_in_kb='128' policySettings.file_upload_limit_in_mb='100' --query policySettings -o table
Çıktı:
FileUploadEnforcement FileUploadLimitInMb MaxRequestBodySizeInKb Mode RequestBodyCheck RequestBodyEnforcement RequestBodyInspectLimitInKB State
----------------------- --------------------- ------------------------ --------- ------------------ ------------------------ ----------------------------- -------
True 100 128 Detection True True 128 Enabled
Sonraki adımlar
- Web Uygulaması Güvenlik Duvarı ayarlarınızı yapılandırdıktan sonra, Web Uygulaması Güvenlik Duvarı günlüklerinizi görüntülemeyi öğrenebilirsiniz. Daha fazla bilgi için bkz . Application Gateway tanılaması.
- Azure ağ güvenliği hakkında daha fazla bilgi edinin