Настройка правил Брандмауэра веб-приложения с помощью Azure CLI
Брандмауэр веб-приложения (WAF) шлюза приложений Azure обеспечивает защиту веб-приложений. с помощью основного набора правил (CRS) открытого проекта безопасности веб-приложений (OWASP). Некоторые правила могут приводить к ложным срабатываниям и блокировке реального трафика. Поэтому шлюз приложений предоставляет возможность настроить правила и группы правил. Дополнительные сведения о конкретных правилах и группах правил см. в статье Список групп правил и правил CRS Брандмауэра веб-приложения.
Просмотр правил и групп правил
Ниже приведены примеры кода для просмотра правил и групп правил, которые можно настроить.
Просмотр групп правил
В следующем примере показано, как просмотреть группы правил:
az network application-gateway waf-config list-rule-sets --type OWASP
В результатах далее представлен сокращенный ответ из предыдущего примера.
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Просмотр правил в группе правил
В примере ниже показано, как просмотреть правила в указанной группе правил.
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
В результатах далее представлен сокращенный ответ из предыдущего примера.
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Отключение правил
В следующем примере отключаются правила 910018 и 910017 в шлюзе приложений.
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Обязательные правила
В следующем списке содержатся условия, из-за которых WAF блокирует запрос в режиме предотвращения (в режиме обнаружения они регистрируются в качестве исключений). Эти условия не могут быть настроены или отключены.
- Сбой синтаксического анализа текста запроса приводит к блокировке запроса, если проверка тела не отключена (XML, JSON, данные форм).
- Длина данных в тексте запроса (без файлов) превышает заданное ограничение.
- Размер текста запроса (включая файлы) превышает ограничение.
- В подсистеме WAF произошла внутренняя ошибка.
Только для CRS 3.x:
- Превышено пороговое значение для входящего трафика
anomaly score
Следующие шаги
После настройки с отключением правил вы можете узнать, как просматривать журналы WAF. Дополнительные сведения см. в разделе Журналы диагностики.