Aangepaste regels voor Web Application Firewall v2 op Azure Application Gateway

Van toepassing op: ✔️ Application Gateway V2

De Azure Application Gateway Web Application Firewall (WAF) v2 bevat een vooraf geconfigureerde, platformbeheerde regelset die beschermt tegen veel verschillende soorten aanvallen. Deze aanvallen omvatten scripts op meerdere sites, SQL-injectie en andere. Als u een WAF-beheerder bent, wilt u misschien uw eigen regels schrijven om de regels voor de kernregelset (CRS) aan te vullen. Uw aangepaste regels kunnen aangevraagd verkeer blokkeren, toestaan of registreren op basis van overeenkomende criteria. Als u het WAF-beleid instelt op de detectiemodus en een aangepaste blokregel triggert, wordt de aanvraag geregistreerd en wordt er geen blokkeringsactie uitgevoerd.

Gebruik aangepaste regels om uw eigen regels te maken die de WAF voor elke aanvraag evalueert. Deze regels hebben een hogere prioriteit dan de rest van de regels in de beheerde regelsets. De aangepaste regels bevatten een regelnaam, regelprioriteit en een matrix met overeenkomende voorwaarden. Als aan deze voorwaarden wordt voldaan, neemt de WAF een actie om toe te staan, te blokkeren of te registreren. Als een aangepaste regel wordt geactiveerd en de WAF een actie voor toestaan of blokkeren uitvoert, voert de WAF geen verdere acties uit van aangepaste of beheerde regels. In het geval van een aangepaste regel die een actie toestaan of blokkeren activeert, ziet u mogelijk nog steeds enkele logboekgebeurtenissen voor regelovereenkomsten uit de geconfigureerde regelset (basisregelset/standaardregelset), maar deze regels worden niet afgedwongen. De loggebeurtenissen worden alleen weergegeven als gevolg van de optimalisatie die door de WAF-engine wordt afgedwongen voor parallelle regelverwerking en kunnen veilig worden genegeerd. U kunt aangepaste regels op aanvraag in- of uitschakelen.

U kunt bijvoorbeeld alle aanvragen van een IP-adres in het bereik 192.168.5.0/24 blokkeren. In deze regel is de operator IPMatch, de matchValues is het IP-adresbereik (192.168.5.0/24) en de actie is om het verkeer te blokkeren. U stelt ook de naam, prioriteit en ingeschakelde of uitgeschakelde status van de regel in.

Aangepaste regels ondersteunen het gebruik van samengestelde logica om geavanceerdere regels te maken die voldoen aan uw beveiligingsbehoeften. U kunt bijvoorbeeld twee aangepaste regels gebruiken om de volgende logica te maken ((regel 1: Voorwaarde 1 en regel 1: Voorwaarde 2) of regel 2: Voorwaarde 3). Deze logica betekent dat als aan voorwaarde 1 en voorwaarde 2 wordt voldaan, of als aan voorwaarde 3 wordt voldaan, de WAF de actie moet ondernemen die is gespecificeerd in de aangepaste regels.

Verschillende overeenkomende voorwaarden binnen dezelfde regel worden altijd samengesteld met behulp van en. Blokkeer bijvoorbeeld verkeer van een specifiek IP-adres, en alleen als ze een bepaalde browser gebruiken.

Als je gebruik wilt maken van of tussen twee verschillende voorwaarden, dan moeten de twee voorwaarden in verschillende regels staan. Blokkeer bijvoorbeeld verkeer van een specifiek IP-adres of blokkeer verkeer als ze een specifieke browser gebruiken.

Aangepaste regels ondersteunen ook reguliere expressies, net zoals in de CRS-regelsets. Zie voorbeelden 3 en 5 in Aangepaste firewallregels voor webtoepassingen maken en gebruiken.

Opmerking

U kunt maximaal 100 aangepaste WAF-regels maken. Zie Azure-abonnements- en servicelimieten, quota en beperkingen voor meer informatie over limieten voor toepassingsgateways.

Waarschuwing

Alle omleidingsregels die u op toepassingsgatewayniveau toepast, omzeilen aangepaste WAF-regels. Zie application gateway-omleidingsoverzicht voor meer informatie.

Toestaan vs. blokkeren

U kunt eenvoudig verkeer toestaan of blokkeren met behulp van aangepaste regels. U kunt bijvoorbeeld al het verkeer van een bereik van IP-adressen blokkeren. U kunt een andere regel maken om verkeer toe te staan als de aanvraag afkomstig is van een specifieke browser.

Als u iets wilt toestaan, stelt u de -Action parameter in op Toestaan. Als u iets wilt blokkeren, stelt u de -Action parameter in op Blokkeren.

$AllowRule = New-AzApplicationGatewayFirewallCustomRule `
   -Name example1 `
   -Priority 2 `
   -RuleType MatchRule `
   -MatchCondition $condition `
   -Action Allow `
   -State Enabled

$BlockRule = New-AzApplicationGatewayFirewallCustomRule `
   -Name example2 `
   -Priority 2 `
   -RuleType MatchRule `
   -MatchCondition $condition `
   -Action Block `
   -State Enabled

De vorige $BlockRule komt overeen met de volgende aangepaste regel in Azure Resource Manager.

"customRules": [
      {
        "name": "blockEvilBot",
        "priority": 2,
        "ruleType": "MatchRule",
        "action": "Block",
        "state": "Enabled",
        "matchConditions": [
          {
            "matchVariables": [
              {
                "variableName": "RequestHeaders",
                "selector": "User-Agent"
              }
            ],
            "operator": "Contains",
            "negationCondition": false,
            "matchValues": [
              "evilbot"
            ],
            "transforms": [
              "Lowercase"
            ]
          }
        ]
      }
    ],

Deze aangepaste regel bevat een naam, prioriteit, een actie en de matrix met overeenkomende voorwaarden waaraan moet worden voldaan om de actie uit te voeren. Zie de volgende veldbeschrijvingen voor een verdere uitleg van deze velden. Zie Aangepaste firewallregels voor webtoepassingen maken en gebruiken voor bijvoorbeeld aangepaste regels.

Opmerking

Aangepaste WAF-regels bieden geen ondersteuning voor het toestaan of blokkeren van aanvragen op basis van bestandsnamen of bestandstypen.

Velden voor aangepaste regels

Naam [optioneel]

De naam van de regel. Het verschijnt in de logboeken.

Regel inschakelen [optioneel]

Schakel deze regel in of uit. Aangepaste regels zijn standaard ingeschakeld.

Prioriteit [verplicht]

  • Bepaalt de regelwaarderingsvolgorde. Hoe lager de waarde, hoe eerder de evaluatie van de regel. Het toegestane bereik is van 1 tot 100.
  • Moet uniek zijn binnen alle aangepaste regels. Een regel met prioriteit 40 wordt geëvalueerd vóór een regel met prioriteit 80.

Type regel [verplicht]

Momenteel moet MatchRule zijn.

Overeenkomende variabele [verplicht]

Moet een van de variabelen zijn:

  • RemoteAddr : IPv4-adres of -bereik van de externe computerverbinding
  • RequestMethod - HTTP-aanvraagmethode
  • QueryString – variabele in de URI
  • PostArgs – Argumenten verzonden in het POST-lichaam. Aangepaste regels die deze overeenkomende variabele gebruiken, zijn alleen van toepassing als de header Content-Type is ingesteld op 'application/x-www-form-urlencoded' of 'multipart/form-data'. CRS versie 3.2 of hoger ondersteunt een extra inhoudstype application/json, samen met een regelset voor botbeveiliging en aangepaste regels voor geo-matching.
  • RequestUri – URI van het verzoek
  • RequestHeaders – Headers van de aanvraag
  • RequestBody – Deze variabele bevat de volledige aanvraagbody als geheel. Aangepaste regels die gebruikmaken van deze matchvariabele zijn alleen van toepassing als de header Content-Type is ingesteld op het mediatype application/x-www-form-urlencoded. CRS versie 3.2 of hoger ondersteunt aanvullende inhoudstypen, samen met regelset voor botbeveiliging en aangepaste geo-match regels.
  • RequestCookies – Cookies van de aanvraag

Keuzeschakelaar [optioneel]

Beschrijft het veld van de matchVariable verzameling. Als de matchVariable bijvoorbeeld RequestHeaders is, kan de selector zich in de User-Agent-header bevinden.

Operator [verplicht]

Gebruik een van de volgende operatoren:

  • IPMatch - Gebruik alleen wanneer de variabele Vergelijken RemoteAddr is en alleen IPv4 ondersteunt.
  • Equal - Gebruiken wanneer de invoer hetzelfde is als de MatchValue.
  • Any - Gebruik deze functie als er geen MatchValue is. Het wordt aanbevolen om een Match Variable met een geldige Selector te gebruiken.
  • Contains - Gebruik deze functie alleen als MatchValue een expliciete waarde is. Jokertekens en regex worden niet ondersteund.
  • LessThan
  • GreaterThan
  • Kleiner dan of gelijk aan
  • GroterDanOfGelijkAan
  • Begint met
  • EndsWith
  • Regex
  • Geomatch

Voorwaarde negeren [optioneel]

Ontkent de huidige toestand.

Transformeren [optioneel]

Een lijst met tekenreekswaarden die transformaties specificeren die moeten worden toegepast voordat een overeenkomst wordt geprobeerd. De beschikbare transformaties zijn onder meer:

  • Kleine letters
  • Hoofdletters
  • Trimmen
  • URL-decoderen
  • UrlEncode
  • Nullen verwijderen
  • Html-entiteitscodering decoderen

Overeenkomstwaarden [verplicht]

Een lijst met waarden waarmee moet worden vergeleken, die u kunt beschouwen als OR'ed. De lijst kan bijvoorbeeld IP-adressen of andere tekenreeksen bevatten. De waardenotatie is afhankelijk van de vorige operator.

Opmerking

Als uw WAF Core Rule Set (CRS) 3.1 of een oudere CRS-versie gebruikt, aanvaardt de overeenkomstwaarde alleen letters, cijfers en leestekens. Aanhalingstekens "en 'spaties worden niet ondersteund.

Ondersteunde waarden voor HTTP-aanvraagmethoden zijn onder andere:

  • TOEVOEGEN
  • Hoofd
  • BERICHT
  • OPTIES
  • ZETTEN
  • Verwijderen
  • Patch

Actie [vereist]

Als in de WAF-beleidsdetectiemodus een aangepaste regel wordt geactiveerd, wordt de actie altijd geregistreerd, ongeacht de actiewaarde die is ingesteld op de aangepaste regel.

  • Toestaan: autoriseert de transactie en slaat alle andere regels over. De opgegeven aanvraag wordt toegevoegd aan de toelatingslijst en zodra deze is gematcht, stopt de aanvraag met verdere evaluatie en wordt deze naar de back-endpool gestuurd. Regels die op de toelatingslijst staan, worden niet geëvalueerd op verdere aangepaste regels of beheerde regels.
  • Blokkeren: hiermee blokkeert of registreert u de transactie op basis van SecDefaultAction (detectie- of preventiemodus). - Preventiemodus : blokkeert de transactie op basis van SecDefaultAction. Net als bij de Allow actie wordt de aanvraag geëvalueerd en toegevoegd aan de bloklijst, stopt de evaluatie en wordt de aanvraag geblokkeerd. Elk verzoek dat daarna aan dezelfde voorwaarden voldoet, wordt niet beoordeeld en wordt geblokkeerd.
    • Detectiemodus: registreert de transactie op basis van SecDefaultAction waarna de evaluatie stopt. Elk verzoek dat daarna aan dezelfde voorwaarden voldoet, wordt niet geëvalueerd en geregistreerd.
  • Logboek: hiermee wordt de regel naar het logboek geschreven, maar wordt de rest van de regels uitgevoerd voor evaluatie. De andere aangepaste regels worden geëvalueerd in volgorde van prioriteit, gevolgd door de beheerde regels.

Aangepaste regels kopiëren en dupliceren

U kunt aangepaste regels binnen een bepaald beleid dupliceren. Wanneer u een regel dupliceren, moet u een unieke naam voor de regel en een unieke prioriteitswaarde opgeven. Daarnaast kunt u aangepaste regels kopiëren van het ene WaF-beleid van Application Gateway naar een ander, zolang het beleid beide in hetzelfde abonnement is. Wanneer u een regel van het ene beleid naar het andere kopieert, moet u het WAF-beleid van Application Gateway selecteren waarnaar u de regel wilt kopiëren. Nadat u het WAF-beleid hebt geselecteerd, moet u de regel een unieke naam geven en een prioriteitsrang toewijzen.

Aangepaste regels voor geografische afstemming

Met aangepaste regels kunt u op maat gemaakte regels maken die precies aansluiten bij de behoeften van uw toepassingen en beveiligingsbeleid. U kunt de toegang tot uw webtoepassingen beperken per land of regio. Zie Aangepaste regels voor Geomatch voor meer informatie.

Volgende stap

Uw eigen aangepaste regels maken

  • Last updated on