Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De Azure-toepassing Gateway Web Application Firewall (WAF) biedt beveiliging voor webtoepassingen. Deze beveiligingen worden geboden door de Open Web Application Security Project (OWASP) Core Rule Set (CRS). Sommige regels kunnen valse positieven veroorzaken en legitiem verkeer blokkeren. Daarom biedt Application Gateway de mogelijkheid om regelgroepen en regels aan te passen. Zie Lijst met CRS-regelgroepen en -regels voor Web Application Firewall voor meer informatie over de specifieke regelgroepen en -regels.
Regelgroepen en -regels weergeven
In de volgende codevoorbeelden ziet u hoe u regels en regelgroepen kunt weergeven die kunnen worden geconfigureerd.
Regelgroepen weergeven
In het volgende voorbeeld ziet u hoe u de regelgroepen kunt weergeven:
az network application-gateway waf-config list-rule-sets --type OWASP
De volgende uitvoer is een ingekort antwoord afkomstig uit het vorige voorbeeld.
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
},
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_2.2.9",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "crs_20_protocol_violations",
"rules": null
},
...
],
"ruleSetType": "OWASP",
"ruleSetVersion": "2.2.9",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Regels in een regelgroep weergeven
In het volgende voorbeeld ziet u hoe u regels in een opgegeven regelgroep kunt weergeven:
az network application-gateway waf-config list-rule-sets --group "REQUEST-910-IP-REPUTATION"
De volgende uitvoer is een ingekort antwoord afkomstig uit het vorige voorbeeld.
[
{
"id": "/subscriptions//resourceGroups//providers/Microsoft.Network/applicationGatewayAvailableWafRuleSets/",
"location": null,
"name": "OWASP_3.0",
"provisioningState": "Succeeded",
"resourceGroup": "",
"ruleGroups": [
{
"description": "",
"ruleGroupName": "REQUEST-910-IP-REPUTATION",
"rules": [
{
"description": "Rule 910011",
"ruleId": 910011
},
...
]
}
],
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"tags": null,
"type": "Microsoft.Network/applicationGatewayAvailableWafRuleSets"
}
]
Regels uitschakelen
In het volgende voorbeeld worden regels 910018 en 910017 op een toepassingsgateway uitgeschakeld:
az network application-gateway waf-config set --resource-group AdatumAppGatewayRG --gateway-name AdatumAppGateway --enabled true --rule-set-version 3.0 --disabled-rules 910018 910017
Verplichte regels
De volgende lijst bevat voorwaarden waardoor de WAF de aanvraag blokkeert in de preventiemodus (in de detectiemodus worden ze geregistreerd als uitzonderingen). Deze voorwaarden kunnen niet worden geconfigureerd of uitgeschakeld:
- Het niet parseren van de aanvraagbody leidt tot het blokkeren van de aanvraag, tenzij de body-inspectie is uitgeschakeld (XML, JSON, formuliergegevens).
- De gegevenslengte van de aanvraagbody (zonder bestanden) is groter dan de geconfigureerde limiet
- Aanvraagbody (inclusief bestanden) is groter dan de limiet
- Er is een interne fout opgetreden in de WAF-engine
Specifiek voor CRS 3.x:
- Drempelwaarde voor inkomend verkeer
anomaly scoreoverschreden
Volgende stappen
Nadat u de uitgeschakelde regels hebt geconfigureerd, kunt u leren hoe u uw WAF-logboeken kunt weergeven. Zie Application Gateway Diagnostics voor meer informatie.