Udostępnij za pośrednictwem

Dostosowywanie reguł zapory aplikacji internetowej przy użyciu programu PowerShell

  • Artykuł

Zapora aplikacyjna sieci Web bramy aplikacji systemu Azure (WAF) zapewnia ochronę aplikacji sieci Web. Te zabezpieczenia są udostępniane przez Open Web Application Security Project (OWASP) i jego Podstawowy Zestaw Reguł (CRS). Niektóre reguły mogą powodować fałszywie dodatnie wyniki i blokować rzeczywisty ruch. Z tego powodu usługa Application Gateway zapewnia możliwość dostosowywania grup reguł i reguł. Aby uzyskać więcej informacji o specyficznych grupach reguł i regułach, zobacz Listę grup i reguł CRS zapory aplikacji internetowej.

Wyświetlanie grup reguł i reguł

W poniższych przykładach kodu pokazano, jak wyświetlać reguły i grupy reguł konfigurowalne w bramie aplikacyjnej z włączoną funkcją WAF.

Wyświetlanie grup reguł

W poniższym przykładzie pokazano, jak wyświetlać grupy reguł:

Get-AzApplicationGatewayAvailableWafRuleSets

Następujące dane wyjściowe to obcięta odpowiedź z poprzedniego przykładu:

OWASP (Ver. 3.0):

    General:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            200004     Possible Multipart Unmatched Boundary.

    REQUEST-911-METHOD-ENFORCEMENT:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            911011     Rule 911011
            911012     Rule 911012
            911100     Method is not allowed by policy
            911013     Rule 911013
            911014     Rule 911014
            911015     Rule 911015
            911016     Rule 911016
            911017     Rule 911017
            911018     Rule 911018

    REQUEST-913-SCANNER-DETECTION:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            913011     Rule 913011
            913012     Rule 913012
            913100     Found User-Agent associated with security scanner
            913110     Found request header associated with security scanner
            913120     Found request filename/argument associated with security scanner
            913013     Rule 913013
            913014     Rule 913014
            913101     Found User-Agent associated with scripting/generic HTTP client
            913102     Found User-Agent associated with web crawler/bot
            913015     Rule 913015
            913016     Rule 913016
            913017     Rule 913017
            913018     Rule 913018

            ...        ...

Wyłączanie reguł

Poniższy przykład wyłącza reguły 911011 i 911012 w bramie aplikacji:

$disabledrules=New-AzApplicationGatewayFirewallDisabledRuleGroupConfig -RuleGroupName REQUEST-911-METHOD-ENFORCEMENT -Rules 911011,911012
Set-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $gw -Enabled $true -FirewallMode Detection -RuleSetVersion 3.0 -RuleSetType OWASP -DisabledRuleGroups $disabledrules
Set-AzApplicationGateway -ApplicationGateway $gw

Reguły obowiązkowe

Poniższa lista zawiera warunki, które powodują, że WAF blokuje żądanie w trybie ochrony (w trybie wykrywania są rejestrowane jako wyjątki). Nie można ich skonfigurować ani wyłączyć:

  • Brak możliwości przetworzenia treści żądania skutkuje jego zablokowaniem, chyba że inspekcja treści (XML, JSON, dane formularza) jest wyłączona.
  • Długość danych treści żądania (bez plików) jest większa niż skonfigurowany limit
  • Treść żądania (w tym pliki) jest większa niż limit
  • Wystąpił błąd wewnętrzny w mechanizmie WAF (zapory aplikacji internetowej).

Specyficzne dla crS 3.x:

  • Wynik anomalii dla ruchu przychodzącego przekroczył próg

Następne kroki

Po skonfigurowaniu swoich wyłączonych reguł możesz dowiedzieć się, jak wyświetlać dzienniki WAF (zapory aplikacji internetowej). Aby uzyskać więcej informacji, zobacz Diagnostyka usługi Application Gateway.