Sdílet prostřednictvím

Přizpůsobení pravidel firewallu webových aplikací pomocí PowerShellu

  • Článek

Firewall webových aplikací (WAF) Aplikace Azure lication Gateway poskytuje ochranu webových aplikací. Tyto ochrany poskytuje základní sada pravidel CRS (Open Web Application Security Project) (OWASP). Některá pravidla můžou způsobit falešně pozitivní výsledky a blokovat skutečný provoz. Z tohoto důvodu poskytuje Služba Application Gateway možnost přizpůsobit skupiny pravidel a pravidla. Další informace o konkrétních skupinách a pravidlech pravidel naleznete v tématu Seznam skupin a pravidel crs firewallu webových aplikací.

Zobrazení skupin pravidel a pravidel

Následující příklady kódu ukazují, jak zobrazit pravidla a skupiny pravidel, které je možné konfigurovat na aplikační bráně s podporou WAF.

Zobrazení skupin pravidel

Následující příklad ukazuje, jak zobrazit skupiny pravidel:

Get-AzApplicationGatewayAvailableWafRuleSets

Následující výstup je zkrácená odpověď z předchozího příkladu:

OWASP (Ver. 3.0):

    General:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            200004     Possible Multipart Unmatched Boundary.

    REQUEST-911-METHOD-ENFORCEMENT:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            911011     Rule 911011
            911012     Rule 911012
            911100     Method is not allowed by policy
            911013     Rule 911013
            911014     Rule 911014
            911015     Rule 911015
            911016     Rule 911016
            911017     Rule 911017
            911018     Rule 911018

    REQUEST-913-SCANNER-DETECTION:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            913011     Rule 913011
            913012     Rule 913012
            913100     Found User-Agent associated with security scanner
            913110     Found request header associated with security scanner
            913120     Found request filename/argument associated with security scanner
            913013     Rule 913013
            913014     Rule 913014
            913101     Found User-Agent associated with scripting/generic HTTP client
            913102     Found User-Agent associated with web crawler/bot
            913015     Rule 913015
            913016     Rule 913016
            913017     Rule 913017
            913018     Rule 913018

            ...        ...

Zakázání pravidel

Následující příklad zakáže pravidla 911011 a 911012 službu Application Gateway:

$disabledrules=New-AzApplicationGatewayFirewallDisabledRuleGroupConfig -RuleGroupName REQUEST-911-METHOD-ENFORCEMENT -Rules 911011,911012
Set-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $gw -Enabled $true -FirewallMode Detection -RuleSetVersion 3.0 -RuleSetType OWASP -DisabledRuleGroups $disabledrules
Set-AzApplicationGateway -ApplicationGateway $gw

Povinná pravidla

Následující seznam obsahuje podmínky, které způsobí, že WAF zablokuje požadavek v režimu prevence (v režimu detekce jsou protokolovány jako výjimky). Nemůžete je konfigurovat ani zakázat:

  • Při analýze textu požadavku dojde k zablokování požadavku, pokud není vypnutá kontrola těla (XML, JSON, data formuláře).
  • Text požadavku (bez souborů) je větší než nakonfigurovaný limit.
  • Text požadavku (včetně souborů) je větší než limit.
  • V modulu WAF došlo k vnitřní chybě.

Specifické pro CRS 3.x:

  • Příchozí skóre anomálií překročilo prahovou hodnotu

Další kroky

Po nakonfigurování zakázaných pravidel se dozvíte, jak zobrazit protokoly WAF. Další informace najdete v tématu Diagnostika služby Application Gateway.