Compartir vía


Personalización del reglas de Firewall de aplicaciones web con CLI de Azure

El Firewall de aplicaciones web (WAF) de Azure Application Gateway proporciona protección a las aplicaciones web. Dicha protección la proporciona Open Web Application Security Project (OWASP) Core Rule Set (CRS). Algunas reglas pueden producir falsos positivos y bloquear el tráfico real. Por este motivo, Application Gateway ofrece la posibilidad de personalizar reglas y grupos de reglas. Para más información sobre las reglas y grupos de reglas específicos, consulte Lista de reglas y grupos de reglas de CRS de Firewall de aplicaciones web.

Visualización de reglas y grupos de reglas

Los siguientes ejemplos de código muestran cómo ver las reglas y los grupos de reglas que se pueden configurar.

Visualización del grupos de reglas

En el ejemplo siguiente se muestra cómo ver los grupos de reglas:

az network application-gateway waf-config list-rule-sets --type OWASP

La siguiente salida es una respuesta truncada del ejemplo anterior:

[
  {
    "id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
    "location": null,
    "name": "OWASP_3.0",
    "provisioningState": "Succeeded",
    "resourceGroup": "",
    "ruleGroups": [
      {
        "description": "",
        "ruleGroupName": "REQUEST-910-IP-REPUTATION",
        "rules": null
      },
      ...
    ],
    "ruleSetType": "OWASP",
    "ruleSetVersion": "3.0",
    "tags": null,
    "type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
  },
  {
    "id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
    "location": null,
    "name": "OWASP_2.2.9",
    "provisioningState": "Succeeded",
    "resourceGroup": "",
   "ruleGroups": [
      {
        "description": "",
        "ruleGroupName": "crs_20_protocol_violations",
        "rules": null
      },
      ...
    ],
    "ruleSetType": "OWASP",
    "ruleSetVersion": "2.2.9",
    "tags": null,
    "type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
  }
]

Reglas de vista en un grupo de reglas

En el ejemplo siguiente se muestra cómo ver las reglas en un grupo de reglas específico:

az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"

La siguiente salida es una respuesta truncada del ejemplo anterior:

[
  {
    "id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
    "location": null,
    "name": "OWASP_3.0",
    "provisioningState": "Succeeded",
    "resourceGroup": "",
    "ruleGroups": [
      {
        "description": "",
        "ruleGroupName": "REQUEST-910-IP-REPUTATION",
        "rules": [
          {
            "description": "Rule 910011",
            "ruleId": 910011
          },
          ...
        ]
      }
    ],
    "ruleSetType": "OWASP",
    "ruleSetVersion": "3.0",
    "tags": null,
    "type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
  }
]

Deshabilitar reglas

En el ejemplo siguiente se deshabilitan las reglas 910018 y 910017 en una puerta de enlace de aplicaciones:

az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017

Reglas obligatorias

La siguiente lista contiene condiciones que hacen que el WAF bloquee la petición mientras está en Modo Prevención (en Modo Detección se registran como excepciones). Estas condiciones no se pueden configurar ni deshabilitar:

  • La imposibilidad de analizar el cuerpo de la solicitud tiene como resultado que la solicitud se bloquea, a menos que la inspección del cuerpo esté desactivada (XML, JSON, datos de formulario).
  • La longitud de los datos del cuerpo de la solicitud (sin archivos) es mayor que el límite configurado.
  • El cuerpo de la solicitud (archivos incluidos) es mayor que el límite.
  • Se produjo un error interno en el motor de WAF.

Específico de CRS 3.x:

  • Entrada anomaly score superado el umbral

Pasos siguientes

Después de configurar las reglas deshabilitadas, puede aprender a ver los registros de WAFS. Para más información, consulte Diagnósticos de Application Gateway.