Limieten voor Web Application Firewall-aanvragen en bestandsuploads

Met Web Application Firewall kunt u aanvraaggroottelimieten binnen een onder- en bovengrens configureren. Application Gateways Web Application Firewalls waarop Core Rule Set 3.2 of hoger wordt uitgevoerd, hebben meer besturingselementen voor aanvragen en uploaden van bestanden, waaronder de mogelijkheid om het afdwingen van maximale grootte voor aanvragen en/of bestandsuploads uit te schakelen.

Belangrijk

We zijn bezig met het implementeren van een nieuwe functie voor Application Gateway v2 Web Application Firewalls met Core Rule Set 3.2 of hoger, waardoor de grootte van de aanvraagtekst, de uploadgrootte van het bestand en de controle van de hoofdtekst van de aanvraag groter is. Als u Application Gateway v2 Web Application Firewall uitvoert met Core Rule Set 3.2 of hoger en u ziet dat aanvragen worden geweigerd (of niet worden geweigerd) voor een maximale grootte, raadpleegt u de stappen voor probleemoplossing onderaan deze pagina.

Limieten

Het veld voor de grootte van de aanvraagbody en de limiet voor de grootte van de upload van bestanden kunnen beide worden geconfigureerd in de Web Application Firewall. De maximale grootte van het veld voor de aanvraagbody wordt gespecificeerd in kilobyte en bepaalt de totale aanvraaggroottelimiet, met uitzondering van bestandsuploads. Het veld voor het uploaden van bestanden wordt opgegeven in megabytes en bepaalt de maximaal toegestane grootte voor het uploaden van bestanden. Zie Application Gateway-limieten voor de limieten voor de aanvraaggrootte en de limiet voor het uploaden van bestanden.

Voor Application Gateway v2 Web Application Firewalls waarop Core Rule Set 3.2 of hoger wordt uitgevoerd, kan de maximale afdwinging van de grootte van de aanvraagbody en de maximale afdwinging van bestandsuploadgrootte worden uitgeschakeld en de Web Application Firewall weigert een aanvraag, of het uploaden van bestanden, omdat deze te groot is. Wanneer de maximale afdwinging van de grootte van de aanvraagbody en de maximale afdwinging van de grootte van het bestand zijn uitgeschakeld binnen de Web Application Firewall, bepalen de limieten van Application Gateway de maximaal toegestane grootte. Zie Application Gateway-limieten voor meer informatie.

Alleen aanvragen met inhoudstype multipart -/formuliergegevens worden overwogen voor bestandsuploads. Inhoud die moet worden beschouwd als een bestandsupload, moet deel uitmaken van een formulier met meerdere onderdelen met een bestandsnaamheader . Voor alle andere inhoudstypen is de limiet voor de hoofdtekst van de aanvraag van toepassing.

Notitie

Als u Core Rule Set 3.2 of hoger uitvoert en u een aangepaste regel met hoge prioriteit hebt die actie onderneemt op basis van de inhoud van de headers, cookies of URI van een aanvraag, heeft dit voorrang op elke maximale aanvraaggrootte of maximale bestandsgrootte, limieten. Met deze optimalisatie kunnen aangepaste regels met hoge prioriteit worden uitgevoerd die niet eerst de volledige aanvraag hoeven te lezen.

Voorbeeld: Als u een aangepaste regel met prioriteit 0 (de hoogste prioriteit) hebt ingesteld om een aanvraag toe te staan met de header xyz, zelfs als de grootte van de aanvraag groter is dan de maximale aanvraaggroottelimiet, wordt deze toegestaan voordat de maximale groottelimiet wordt afgedwongen

Controle van aanvraagbody

Web Application Firewall biedt een configuratie-instelling voor het in- of uitschakelen van de inspectie van de aanvraagbody. Standaard is de inspectie van de aanvraagbody ingeschakeld. Als de inspectie van de aanvraagbody is uitgeschakeld, evalueert Web Application Firewall de inhoud van de hoofdtekst van een HTTP-bericht niet. In dergelijke gevallen blijft Web Application Firewall regels voor Web Application Firewall afdwingen op headers, cookies en URI. In Web Application Firewalls waarop Core Rule Set 3.1 (of lager) wordt uitgevoerd, als de inspectie van de aanvraagbody is uitgeschakeld, is het veld voor de maximale grootte van de aanvraagbody niet van toepassing en kan deze niet worden ingesteld.

Voor beleidswebtoepassingsfirewalls waarop Core Rule Set 3.2 (of hoger) wordt uitgevoerd, kan de inspectie van de aanvraagbody onafhankelijk van afdwinging van de grootte van de aanvraag worden ingeschakeld of uitgeschakeld, evenals limieten voor het uploaden van bestanden. Daarnaast kunnen Web Application Firewalls met Core Rule Set 3.2 (of hoger) de maximale inspectielimiet voor de aanvraagbody instellen, onafhankelijk van de maximale grootte van de aanvraagbody. De maximale inspectielimiet voor de aanvraagbody vertelt de Web Application Firewall hoe diep in een aanvraag moet worden geïnspecteerd en regels moeten worden toegepast; het instellen van een lagere waarde voor dit veld kan de prestaties van Web Application Firewall verbeteren, maar kan ervoor zorgen dat niet-geïnspecteerde schadelijke inhoud door uw Web Application Firewall wordt doorgegeven.

Voor oudere Web Application Firewalls waarop Core Rule Set 3.1 (of lager) wordt uitgevoerd, kunt u met het uitschakelen van de inspectie van de aanvraagbody berichten verzenden die groter zijn dan 128 kB naar Web Application Firewall, maar de berichttekst wordt niet gecontroleerd op beveiligingsproblemen. Voor Policy Web Application Firewalls waarop Core Rule Set 3.2 (of hoger) wordt uitgevoerd, kunt u hetzelfde resultaat bereiken door de maximale limiet voor de aanvraagtekst uit te schakelen.

Wanneer uw Web Application Firewall een aanvraag ontvangt die de limiet overschrijdt, is het gedrag afhankelijk van de modus van uw Web Application Firewall en de versie van de beheerde regelset die u gebruikt.

• Wanneer uw Web Application Firewall-beleid zich in de preventiemodus bevindt, registreert Web Application Firewall aanvragen en blokkeert het uploaden van bestanden die groter zijn dan de groottelimieten.
• Wanneer uw Web Application Firewall-beleid zich in de detectiemodus bevindt, inspecteert Web Application Firewall de hoofdtekst tot aan de opgegeven limiet en negeert u de rest. Als de Content-Length header aanwezig is en groter is dan de limiet voor het uploaden van bestanden, negeert Web Application Firewall de hele hoofdtekst en registreert de aanvraag.

Probleemoplossing

Als u een Application Gateway v2 Web Application Firewall-klant bent met Core Rule Set 3.2 of hoger en u problemen ondervindt met aanvragen of het uploaden van bestanden, wordt geweigerd voor maximale grootte of als u ziet dat aanvragen niet volledig worden geïnspecteerd, moet u mogelijk controleren of alle waarden correct zijn ingesteld. Met Behulp van PowerShell of de Azure-opdrachtregelinterface kunt u controleren waarop elke waarde is ingesteld en eventuele waarden indien nodig bijwerken.

Controle van aanvraagbody afdwingen

• PowerShell: "RequestBodyCheck"
• CLI: 'request_body_check'
• Hiermee bepaalt u of uw Web Application Firewall de hoofdtekst van de aanvraag inspecteert en beheerde en aangepaste regels toepast op het hoofdtekstverkeer van de aanvraag volgens de instellingen van uw Web Application Firewall-beleid.

Maximumlimiet voor inspectie van aanvraagbody (KB)

• PowerShell: "RequestBodyInspectLimitInKB"
• CLI: 'request_body_inspect_limit_in_kb'
• Hiermee bepaalt u hoe diep in een aanvraagbody de Web Application Firewall beheerde/aangepaste regels inspecteert en toepast. Over het algemeen wilt u dit instellen op de maximaal mogelijke instelling, maar sommige klanten willen deze mogelijk instellen op een lagere waarde om de prestaties te verbeteren.

Maximumlimiet voor aanvraagtekst afdwingen

• PowerShell: "RequestBodyEnforcement"
• CLI: 'request_body_enforcement'
• Bepalen of uw Web Application Firewall een maximale groottelimiet afdwingt voor aanvraagbody's; wanneer deze functie is uitgeschakeld, worden er geen aanvragen voor te groot geweigerd.

Maximale grootte van aanvraagbody (KB)

• PowerShell: "MaxRequestBodySizeInKB"
• CLI: 'max_request_body_size_in_kb'
• Hiermee bepaalt u hoe groot een aanvraagbody kan zijn voordat de Web Application Firewall deze weigert voor het overschrijden van de maximale grootte.

Maximale uploadlimiet voor bestanden afdwingen

• PowerShell: FileUploadEnforcement
• CLI: 'file_upload_enforcement'
• Hiermee bepaalt u of uw Web Application Firewall een maximale groottelimiet afdwingt voor bestandsuploads; wanneer deze functie is uitgeschakeld, worden geen bestandsuploads geweigerd voor te grote bestanden.

Maximale bestandsgrootte (MB)

• PowerShell: "FileUploadLimitInMB"
• CLI: file_upload_limit_in_mb
• Hiermee bepaalt u hoe groot het uploaden van een bestand kan zijn voordat de Web Application Firewall deze weigert voor het overschrijden van de maximale grootte.

Notitie

"Aanvraagbody inspecteren" eerder gecontroleerd als de aanvraagbody is geïnspecteerd en regels zijn toegepast en of een maximale groottelimiet is afgedwongen op aanvraaginstanties. Dit wordt nu verwerkt door twee afzonderlijke velden die onafhankelijk van elkaar kunnen worden in- of uitgeschakeld.

Powershell

U kunt de volgende PowerShell-opdrachten gebruiken om uw Azure-beleid te retourneren en de huidige instellingen te bekijken.

$plcy = Get-AzApplicationGatewayFirewallPolicy -Name <policy-name> -ResourceGroupName <resourcegroup-name>
$plcy.PolicySettings

U kunt deze opdrachten gebruiken om de beleidsinstellingen bij te werken naar de gewenste waarden voor de velden inspectielimiet en maximale groottebeperking. U kunt RequestBodyEnforcement vervangen in het volgende voorbeeld voor een van de andere waarden die u wilt bijwerken.

$plcy = Get-AzApplicationGatewayFirewallPolicy -Name <policy-name> -ResourceGroupName <resourcegroup-name>
$plcy.PolicySettings.RequestBodyEnforcement=false
Set-AzApplicationGatewayFirewallPolicy -InputObject $plcy

• Web Application Firewall-beleid ophalen
• Eigenschappen van beleidsinstellingen
• Klasse Beleidsinstellingen
• Nieuwe beleidsinstellingen

Opdrachtregelinterface

U kunt Azure CLI gebruiken om de huidige waarden voor deze velden te retourneren vanuit uw Azure-beleidsinstellingen en de velden bij te werken naar de gewenste waarden met behulp van deze opdrachten.

az network application-gateway waf-policy update --name <WAF Policy name> --resource-group <WAF policy RG> --set policySettings.request_body_inspect_limit_in_kb='128' policySettings.max_request_body_size_in_kb='128' policySettings.file_upload_limit_in_mb='100' --query policySettings -o table

Uitvoer:

FileUploadEnforcement    FileUploadLimitInMb    MaxRequestBodySizeInKb    Mode       RequestBodyCheck    RequestBodyEnforcement    RequestBodyInspectLimitInKB    State
-----------------------  ---------------------  ------------------------  ---------  ------------------  ------------------------  -----------------------------  -------
True                     100                   128                      Detection  True                True                      128                           Enabled

Volgende stappen

• Nadat u uw Web Application Firewall-instellingen hebt geconfigureerd, kunt u leren hoe u uw Web Application Firewall-logboeken kunt weergeven. Zie Application Gateway Diagnostics voor meer informatie.
• Meer informatie over Azure-netwerkbeveiliging