Dostosowywanie reguł zapory aplikacji internetowej przy użyciu interfejsu wiersza polecenia platformy Azure
Zapora aplikacji internetowej bramy aplikacja systemu Azure Gateway (WAF) zapewnia ochronę aplikacji internetowych. Te zabezpieczenia są udostępniane przez podstawowy zestaw reguł open Web Application Security Project (OWASP) Core Rule Set (CRS). Niektóre reguły mogą powodować fałszywie dodatnie wyniki i blokować rzeczywisty ruch. Z tego powodu usługa Application Gateway zapewnia możliwość dostosowywania grup reguł i reguł. Aby uzyskać więcej informacji na temat określonych grup reguł i reguł, zobacz Lista grup reguł i reguł CRS zapory aplikacji internetowej.
Wyświetlanie grup reguł i reguł
W poniższych przykładach kodu pokazano, jak wyświetlać reguły i grupy reguł, które można konfigurować.
Wyświetlanie grup reguł
W poniższym przykładzie pokazano, jak wyświetlić grupy reguł:
az network application-gateway waf-config list-rule-sets --type OWASP
Następujące dane wyjściowe to obcięta odpowiedź z poprzedniego przykładu:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Wyświetlanie reguł w grupie reguł
W poniższym przykładzie pokazano, jak wyświetlić reguły w określonej grupie reguł:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
Następujące dane wyjściowe to obcięta odpowiedź z poprzedniego przykładu:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Wyłączanie reguł
Poniższy przykład wyłącza reguły 910018 i 910017 w bramie aplikacji:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Reguły obowiązkowe
Poniższa lista zawiera warunki, które powodują, że zapora aplikacji internetowej blokuje żądanie w trybie zapobiegania (w trybie wykrywania są rejestrowane jako wyjątki). Tych warunków nie można skonfigurować ani wyłączyć:
- Nie można przeanalizować treści żądania powoduje zablokowanie żądania, chyba że inspekcja treści jest wyłączona (XML, JSON, dane formularza)
- Długość danych treści żądania (bez plików) jest większa niż skonfigurowany limit
- Treść żądania (w tym pliki) jest większa niż limit
- Wystąpił błąd wewnętrzny w aficie zapory aplikacji internetowej
Specyficzne dla crS 3.x:
- Próg przekroczenia ruchu przychodzącego
anomaly score
Następne kroki
Po skonfigurowaniu wyłączonych reguł możesz dowiedzieć się, jak wyświetlać dzienniki zapory aplikacji internetowej. Aby uzyskać więcej informacji, zobacz Diagnostyka usługi Application Gateway.