Поделиться через

Настройка правил брандмауэра веб-приложения с помощью PowerShell

  • Статья

Брандмауэр веб-приложения (WAF) шлюза приложений Azure обеспечивает защиту веб-приложений. с помощью основного набора правил (CRS) открытого проекта безопасности веб-приложений (OWASP). Некоторые правила могут приводить к ложным срабатываниям и блокировке реального трафика. Поэтому шлюз приложений предоставляет возможность настроить правила и группы правил. Дополнительные сведения о конкретных правилах и группах правил см. в статье Список групп правил и правил CRS брандмауэра веб-приложения.

Просмотр правил и групп правил

Ниже приведены примеры кода для просмотра правил и групп правил, которые можно настроить в шлюзе приложений с включенным WAF.

Просмотр групп правил

В следующем примере показано, как просмотреть группы правил:

Get-AzApplicationGatewayAvailableWafRuleSets

В результатах далее представлен сокращенный ответ из предыдущего примера.

OWASP (Ver. 3.0):

    General:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            200004     Possible Multipart Unmatched Boundary.

    REQUEST-911-METHOD-ENFORCEMENT:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            911011     Rule 911011
            911012     Rule 911012
            911100     Method is not allowed by policy
            911013     Rule 911013
            911014     Rule 911014
            911015     Rule 911015
            911016     Rule 911016
            911017     Rule 911017
            911018     Rule 911018

    REQUEST-913-SCANNER-DETECTION:
        Description:

        Rules:
            RuleId     Description
            ------     -----------
            913011     Rule 913011
            913012     Rule 913012
            913100     Found User-Agent associated with security scanner
            913110     Found request header associated with security scanner
            913120     Found request filename/argument associated with security scanner
            913013     Rule 913013
            913014     Rule 913014
            913101     Found User-Agent associated with scripting/generic HTTP client
            913102     Found User-Agent associated with web crawler/bot
            913015     Rule 913015
            913016     Rule 913016
            913017     Rule 913017
            913018     Rule 913018

            ...        ...

Отключение правил

В следующем примере отключаются правила 911011 и 911012 в шлюзе приложений.

$disabledrules=New-AzApplicationGatewayFirewallDisabledRuleGroupConfig -RuleGroupName REQUEST-911-METHOD-ENFORCEMENT -Rules 911011,911012
Set-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $gw -Enabled $true -FirewallMode Detection -RuleSetVersion 3.0 -RuleSetType OWASP -DisabledRuleGroups $disabledrules
Set-AzApplicationGateway -ApplicationGateway $gw

Обязательные правила

В следующем списке приведены условия, которые приводят к тому, что WAF блокирует запрос в режиме предотвращения (в режиме обнаружения они регистрируются как исключения). Их нельзя настроить или отключить:

  • Сбой синтаксического анализа текста запроса приводит к блокировке запроса, если проверка тела не отключена (XML, JSON, данные форм).
  • Длина данных в тексте запроса (без файлов) превышает заданное ограничение.
  • Размер текста запроса (включая файлы) превышает ограничение.
  • В подсистеме WAF произошла внутренняя ошибка.

Только для CRS 3.x:

  • Входящий показатель аномалий превысил пороговое значение.

Следующие шаги

После настройки с отключением правил вы можете узнать, как просматривать журналы WAF. Дополнительные сведения см. в разделе Журналы диагностики.