Anpassa brandväggsregler för webbaserade program med hjälp av Azure CLI
Azure Application Gateway Web Application Firewall (WAF) ger skydd för webbprogram. Dessa skydd tillhandahålls av OWASP(Open Web Application Security Project) Core Rule Set (CRS). Vissa regler kan orsaka falska positiva identifieringar och blockera verklig trafik. Därför tillhandahåller Application Gateway möjligheten att anpassa regelgrupper och regler. Mer information om specifika regelgrupper och regler finns i Lista över CRS-regelgrupper och regler för brandväggen för webbaserade program.
Visa regelgrupper och regler
Följande kodexempel visar hur du visar regler och regelgrupper som kan konfigureras.
Visa regelgrupper
I följande exempel visas hur du visar regelgrupperna:
az network application-gateway waf-config list-rule-sets --type OWASP
Följande utdata är ett trunkerat svar från föregående exempel:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Visa regler i en regelgrupp
I följande exempel visas hur du visar regler i en angiven regelgrupp:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
Följande utdata är ett trunkerat svar från föregående exempel:
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Inaktivera regler
I följande exempel inaktiveras regler 910018 och 910017 på en programgateway:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Obligatoriska regler
Följande lista innehåller villkor som gör att WAF blockerar begäran i förebyggande läge (i identifieringsläge loggas de som undantag). Dessa villkor kan inte konfigureras eller inaktiveras:
- Om begärandetexten inte parsas blockeras begäran, såvida inte brödtextkontrollen är inaktiverad (XML, JSON, formulärdata)
- Begärandetexten (utan filer) är större än den konfigurerade gränsen
- Begärandetexten (inklusive filer) är större än gränsen
- Ett internt fel inträffade i WAF-motorn
CRS 3.x specifikt:
- Tröskelvärde för inkommande överskreds
anomaly score
Nästa steg
När du har konfigurerat dina inaktiverade regler kan du lära dig hur du visar dina WAF-loggar. Mer information finns i Application Gateway-diagnostik.