Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zusammenfassung
Dieser Artikel hilft Ihnen dabei, Probleme mit der Web Application Firewall (WAF) beim Azure Application Gateway zu beheben, wenn legitime Anforderungen blockiert werden, sodass Sie gültigen Datenverkehr zulassen können, während der Schutz erhalten bleibt.
Überprüfen Sie zunächst die WAF-Übersicht und die WAF-Konfigurationsdokumentation , und stellen Sie sicher, dass die WAF-Überwachung aktiviert ist. In diesen Artikeln wird erläutert, wie das WAF funktioniert, wie die Regelsätze funktionieren und wie auf WAF-Protokolle zugegriffen wird.
Die OWASP-Regelsätze sind so konzipiert, dass sie sofort einsatzbereit sind und entsprechend den spezifischen Anforderungen der Anwendung oder Organisation mit WAF abgestimmt werden. Es ist völlig normal und wird in vielen Fällen erwartet, Ausschlüsse, benutzerdefinierte Regeln zu erstellen und sogar Regeln zu deaktivieren, die probleme oder falsch positive Ergebnisse verursachen können. Pro seiten- und URI-spezifische Richtlinien kann festgelegt werden, dass diese Änderungen nur bestimmte Seiten/URIs betreffen. Daher sollten sich Änderungen nicht auf andere Websites auswirken müssen, die möglicherweise nicht auf dieselben Probleme stoßen.
Verstehen von WAF-Protokollen
Der Zweck von WAF-Protokollen besteht darin, jede Anforderung anzuzeigen, die die WAF erfüllt oder blockiert. Es handelt sich um ein Protokoll aller ausgewerteten Anfragen, die zugeordnet oder blockiert werden. Wenn Sie feststellen, dass die WAF eine Anfrage blockiert, die sie nicht blockieren sollte (ein Fehlalarm), können Sie einige Maßnahmen ergreifen. Zunächst eingrenzen und die spezifische Anfrage finden. Durchsuchen Sie die Protokolle, um den spezifischen URI, den Zeitstempel oder die Transaktions-ID der Anforderung zu finden. Wenn Sie die zugehörigen Protokolleinträge finden, können Sie beginnen, auf die falsch positiven Ergebnisse zu reagieren.
Angenommen, Sie haben einen legitimen Datenverkehr, der die Zeichenfolge 1=1 enthält, die Sie durch Ihre WAF übergeben möchten. Wenn Sie die Anforderung testen, blockiert der WAF Datenverkehr, der Ihre 1=1 Zeichenfolge in einem beliebigen Parameter oder Feld enthält. Dies ist eine Zeichenfolge, die häufig einem SQL-Einfügungsangriff zugeordnet ist. Sie können die Protokolle durchsuchen und den Zeitstempel der Anforderung und die Regeln anzeigen, die blockiert/übereinstimmen.
Im folgenden Beispiel können Sie sehen, dass vier Regeln während derselben Anforderung ausgelöst werden (mithilfe des Felds "TransactionId"). Die erste besagt, dass sie übereinstimmt, weil der Benutzer eine numerische/IP-URL für die Anforderung verwendet hat, wodurch die Anomaliebewertung um drei erhöht wird, da es sich um eine Warnung handelt. Die nächste übereinstimmende Regel ist 942130, d. h. die gesuchte Regel. Sie können das 1=1 im details.data-Feld sehen. Dies erhöht die Anomaliebewertung wieder um drei, da es ebenfalls eine Warnung ist. Im Allgemeinen erhöht jede Regel mit der Aktion "Übereinstimmung" den Anomaliewert, und an diesem Punkt beträgt die Anomaliebewertung sechs. Weitere Informationen finden Sie im Anomaliebewertungsmodus.
Die letzten beiden Protokolleinträge zeigen an, dass die Anforderung blockiert wurde, da die Anomaliebewertung hoch genug war. Diese Einträge haben eine andere Funktion als die anderen beiden. Sie zeigen, dass sie die Anforderung tatsächlich blockiert haben . Diese Regeln sind obligatorisch und können nicht deaktiviert werden. Sie sollten nicht als Regeln betrachtet werden, sondern eher als Kerninfrastrukturen der WAF-Interna.
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "920350",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"^[\\\\\\\\d.:]+$\\\" at REQUEST_HEADERS:Host. ",
"data": "40.90.218.160",
"file": "rules\/REQUEST-920-PROTOCOL-ENFORCEMENT.conf\\\"",
"line": "791"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "942130",
"message": "SQL Injection Attack: SQL Tautology Detected.",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"(?i:([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)([\\\\\\\\d\\\\\\\\w]++)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?:(?:=|\\u003c=\\u003e|r?like|sounds\\\\\\\\s+like|regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)\\\\\\\\2|(?:!=|\\u003c=|\\u003e=|\\u003c\\u003e|\\u003c|\\u003e|\\\\\\\\^|is\\\\\\\\s+not|not\\\\\\\\s+like|not\\\\\\\\s+regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?!\\\\\\\\2)([\\\\\\\\d\\\\\\\\w]+)))\\\" at ARGS:text1. ",
"data": "Matched Data: 1=1 found within ARGS:text1: 1=1",
"file": "rules\/REQUEST-942-APPLICATION-ATTACK-SQLI.conf\\\"",
"line": "554"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "",
"ruleSetVersion": "",
"ruleId": "0",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Score: 8)",
"action": "Blocked",
"site": "Global",
"details": {
"message": "Access denied with code 403 (phase 2). Operator GE matched 5 at TX:anomaly_score. ",
"data": "",
"file": "rules\/REQUEST-949-BLOCKING-EVALUATION.conf\\\"",
"line": "57"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "",
"ruleSetVersion": "",
"ruleId": "0",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Inbound Score: 8 - SQLI=5,XSS=0,RFI=0,LFI=0,RCE=0,PHPI=0,HTTP=0,SESS=0): SQL Injection Attack: SQL Tautology Detected.",
"action": "Blocked",
"site": "Global",
"details": {
"message": "Warning. Operator GE matched 5 at TX:inbound_anomaly_score. ",
"data": "",
"file": "rules\/RESPONSE-980-CORRELATION.conf\\\"",
"line": "73"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
Falschpositive beheben
Mit diesen Informationen und dem Wissen, dass Regel 942130 der Zeichenfolge entspricht 1=1 , können Sie ein paar Dinge tun, um dies daran zu hindern, Ihren Datenverkehr zu blockieren:
Verwenden Sie eine Ausschlussliste. Weitere Informationen zu Ausschlusslisten finden Sie unter WAF-Ausschlusslisten.
Deaktivieren Sie die Regel.
Verwenden einer Ausschlussliste
Um eine fundierte Entscheidung über die Behandlung eines falsch positiven Ergebnisses zu treffen, ist es wichtig, sich mit den von Ihrer Anwendung genutzten Technologien vertraut zu machen. Angenommen, es gibt keinen SQL-Server in Ihrem Technologiestapel, und Sie erhalten falsch positive Ergebnisse im Zusammenhang mit diesen Regeln. Das Deaktivieren dieser Regeln schwächt Ihre Sicherheit nicht unbedingt.
Ein Vorteil der Verwendung einer Ausschlussliste besteht darin, dass nur ein bestimmter Teil einer Anforderung deaktiviert wird. Dies bedeutet jedoch, dass ein bestimmter Ausschluss für den gesamten Datenverkehr gilt, der Ihre WAF durchläuft, da es sich um eine globale Einstellung handelt. Dies kann beispielsweise zu einem Problem führen, wenn 1=1 eine gültige Anforderung im Textkörper für eine bestimmte App ist, aber nicht für andere. Ein weiterer Vorteil besteht darin, dass Sie zwischen Textkörper, Kopfzeilen und Cookies wählen können, die ausgeschlossen werden sollen, wenn eine bestimmte Bedingung erfüllt ist, anstatt die gesamte Anforderung auszuschließen.
Gelegentlich gibt es Fälle, in denen bestimmte Parameter auf eine Art und Weise an den WAF übergeben werden, die möglicherweise nicht intuitiv ist. Beispielsweise gibt es ein Token, das beim Authentifizieren mit Microsoft Entra ID übergeben wird. __RequestVerificationToken wird in der Regel als Anfrage-Cookie übergeben. In einigen Fällen, in denen Cookies deaktiviert sind, wird dieses Token jedoch auch als Anforderungsattribut oder argübergeben. In diesem Fall müssen Sie sicherstellen, dass __RequestVerificationToken auch als Anforderungsattributnamen zur Ausschlussliste hinzugefügt wird.
In diesem Beispiel möchten Sie den Namen des Request-Attributs ausschließen, das text1 entspricht. Dies wird offensichtlich, da der Attributname in den Firewallprotokollen angezeigt wird : Daten: Übereinstimmende Daten: 1=1 in ARGS:text1: 1=1. Das Attribut ist Text1. Sie können diesen Attributnamen auch auf einige andere Arten finden, siehe Suchen von Attributnamen für Anforderungsattribute.
Sie können Ausschlüsse für WAF im Anwendungsgateway auf unterschiedlichen Bereichsebenen erstellen. Weitere Informationen finden Sie unter Web Application Firewall Ausschlusslisten.
Regeln deaktivieren
Eine weitere Möglichkeit, um ein falsch positives Ergebnis zu umgehen, besteht darin, die Regel zu deaktivieren, die mit der Eingabe übereinstimmt, für die der WAF-Gedanken bösartig war. Da Sie die WAF-Protokolle analysiert und die Regel auf 942130 beschränkt haben, können Sie sie im Azure-Portal deaktivieren. Weitere Informationen finden Sie unter Customize web application firewall rules through the Azure portal.
Ein Vorteil der Deaktivierung einer Regel besteht darin, dass Sie diese Regel für den gesamten WAF deaktivieren können, wenn Sie wissen, dass der gesamte Datenverkehr, der eine bestimmte Bedingung enthält, die normalerweise blockiert ist, gültig ist. Wenn es jedoch nur gültiger Datenverkehr in einem bestimmten Anwendungsfall ist, öffnen Sie eine Sicherheitsanfälligkeit, indem Sie diese Regel für die gesamte WAF deaktivieren, da es sich um eine globale Einstellung handelt.
Wenn Sie Azure PowerShell verwenden möchten, lesen Sie Customize web application firewall rules through PowerShell. Wenn Sie Azure CLI verwenden möchten, lesen Sie Customize web application firewall rules through the Azure CLI.
Aufzeichnen von HAR-Dateien
Sie können Ihren Browser oder ein externes Tool wie Fiddler verwenden, um HAR-Dateien (HTTP Archive) aufzuzeichnen. HAR-Dateien enthalten Informationen zu den Anforderungen und Antworten, die Ihr Browser beim Laden einer Webseite vorgibt. Diese Informationen können für die Problembehandlung von WAF-Problemen hilfreich sein.
Tipp
Es empfiehlt sich, die HAR-Datei bereit zu haben, wenn Sie sich an den Support wenden. Das Supportteam kann die HAR-Datei verwenden, um das Problem zu diagnostizieren.
Führen Sie die folgenden Schritte aus, um eine HAR-Datei in Microsoft Edge aufzuzeichnen und zu speichern.
Drücken Sie F12 oder Ctrl+UMSCHALT+I, um Edge-Entwicklungstools zu starten. Sie können die Tools auch über das Symbolleistenmenü unter Mehr Tools > Entwicklungstools starten.
Wählen Sie auf der Registerkarte "Konsole " die Option "Konsole löschen" aus, oder drücken Sie STRG+L.
Wählen Sie die Registerkarte "Netzwerk " aus.
Wählen Sie "Netzwerkprotokoll löschen" aus, oder drücken Sie STRG+L, und wählen Sie dann das Netzwerkprotokoll aufzeichnen aus, wenn es nicht aufgezeichnet wird.
Laden Sie die Webseite, für die Sie eine Problembehandlung durchführen möchten und die durch Ihre WAF geschützt ist.
Beenden Sie die Aufzeichnung, indem Sie das Netzwerkprotokoll "Aufzeichnung beenden" auswählen.
Wählen Sie "HAR exportieren" (sanitiert) aus, und speichern Sie die HAR-Datei.
Namen von Anforderungsattributen suchen
Sie können Fiddler verwenden, um einzelne Anforderungen zu prüfen und zu bestimmen, welche spezifischen Felder einer Webseite aufgerufen werden. Die Verwendung dieser Informationen hilft, bestimmte Felder mithilfe von Ausschlusslisten aus der Inspektion auszuschließen.
In diesem Beispiel können Sie sehen, dass das Feld, in das die Zeichenfolge 1=1 eingegeben wurde, als Text1 bezeichnet wird.
Dies ist ein Feld, das Sie ausschließen können. Weitere Informationen zu Ausschlusslisten finden Sie unter Ausschlusslisten für Webanwendungen. Sie können die Auswertung in diesem Fall ausschließen, indem Sie den folgenden Ausschluss konfigurieren:
Sie können auch die Firewallprotokolle untersuchen, um die Informationen abzurufen, um zu sehen, was Sie zur Ausschlussliste hinzufügen müssen. Informationen zum Aktivieren der Protokollierung finden Sie unter Back-End-Integrität, Ressourcenprotokolle und Metriken für das Anwendungsgateway.
Überprüfen Sie das Firewallprotokoll, und zeigen Sie die PT1H.json Datei für die Stunde an, zu der die Anforderung, die Sie überprüfen möchten, aufgetreten ist.
In diesem Beispiel können Sie sehen, dass Sie vier Regeln mit derselben TransactionID haben und dass sie alle gleichzeitig aufgetreten sind:
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "920350",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"^[\\\\\\\\d.:]+$\\\" at REQUEST_HEADERS:Host. ",
"data": "40.90.218.160",
"file": "rules\/REQUEST-920-PROTOCOL-ENFORCEMENT.conf\\\"",
"line": "791"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "942130",
"message": "SQL Injection Attack: SQL Tautology Detected.",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"(?i:([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)([\\\\\\\\d\\\\\\\\w]++)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?:(?:=|\\u003c=\\u003e|r?like|sounds\\\\\\\\s+like|regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)\\\\\\\\2|(?:!=|\\u003c=|\\u003e=|\\u003c\\u003e|\\u003c|\\u003e|\\\\\\\\^|is\\\\\\\\s+not|not\\\\\\\\s+like|not\\\\\\\\s+regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?!\\\\\\\\2)([\\\\\\\\d\\\\\\\\w]+)))\\\" at ARGS:text1. ",
"data": "Matched Data: 1=1 found within ARGS:text1: 1=1",
"file": "rules\/REQUEST-942-APPLICATION-ATTACK-SQLI.conf\\\"",
"line": "554"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "",
"ruleSetVersion": "",
"ruleId": "0",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Score: 8)",
"action": "Blocked",
"site": "Global",
"details": {
"message": "Access denied with code 403 (phase 2). Operator GE matched 5 at TX:anomaly_score. ",
"data": "",
"file": "rules\/REQUEST-949-BLOCKING-EVALUATION.conf\\\"",
"line": "57"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "",
"ruleSetVersion": "",
"ruleId": "0",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Inbound Score: 8 - SQLI=5,XSS=0,RFI=0,LFI=0,RCE=0,PHPI=0,HTTP=0,SESS=0): SQL Injection Attack: SQL Tautology Detected.",
"action": "Blocked",
"site": "Global",
"details": {
"message": "Warning. Operator GE matched 5 at TX:inbound_anomaly_score. ",
"data": "",
"file": "rules\/RESPONSE-980-CORRELATION.conf\\\"",
"line": "73"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
Mit Ihrem Wissen darüber, wie die CRS-Regelsätze funktionieren und dass das CRS-Regelsatz 3.0 mit einem Anomaliebewertungssystem arbeitet (siehe Web Application Firewall für Azure Application Gateway), wissen Sie, dass die beiden untersten Regeln mit der Aktion: Blockiert-Eigenschaft basierend auf der Gesamtanomaliebewertung blockiert werden. Die Regeln, auf die sich konzentrieren soll, sind die beiden obersten.
Der erste Eintrag wird protokolliert, da der Benutzer eine numerische IP-Adresse verwendet hat, um zum Anwendungsgateway zu navigieren, das in diesem Fall ignoriert werden kann.
Die zweite (Regel 942130) ist die interessante. Sie können in den Details sehen, dass es mit einem Muster (1=1)übereinstimmt, und das Feld heißt "text1". Führen Sie die gleichen vorherigen Schritte aus, um den Anforderungsattributnamen auszuschließen, der gleich ist 1=1.
Anforderungsheadernamen finden
Sie können Fiddler verwenden, um Anforderungsheadernamen zu finden. Im folgenden Screenshot können Sie die Kopfzeilen für diese GET-Anforderung sehen, die Inhaltstyp, Benutzer-Agent usw. enthalten.
Eine weitere Möglichkeit zum Anzeigen von Anforderungs- und Antwortheadern besteht darin, die Entwicklertools von Microsoft Edge oder Google Chrome zu verwenden. Weitere Informationen finden Sie unter "Har-Dateien aufzeichnen".
Anforderungscookienamen finden
Wenn die Anforderung Cookies enthält, kann die Registerkarte "Cookies " ausgewählt werden, um sie in Fiddler anzuzeigen.
Beschränken globaler Parameter zur Vermeidung falsch positiver Ergebnisse
Anforderungskörper-Überprüfung deaktivieren
Durch das Deaktivieren von Anforderungstext überprüfen werden die Anforderungstexte Ihres Datenverkehrs nicht von Ihrem WAF ausgewertet. Dies kann nützlich sein, wenn Sie wissen, dass die Anforderungstexte für Ihre Anwendung nicht schädlich sind.
Wenn Sie diese Option deaktivieren, wird nur die Überprüfung des Anforderungstexts umgangen. Die Kopfzeilen und Cookies werden weiterhin geprüft, es sei denn, einzelne werden mit der Ausschlusslistenfunktion ausgeschlossen.
Maximale Anforderungskörpergrenze deaktivieren
Durch deaktivieren der maximalen Anforderungstextgrenze kann WAF große Anforderungstexte verarbeiten, ohne sie für die Überschreitung des Größenlimits abzulehnen. Diese Einstellung ist nützlich, wenn Sie regelmäßig große Anfragen bearbeiten.
Wenn Sie diese Option deaktivieren, wird der Anforderungstext nur bis zur maximalen Anforderungstextinspektionsgrenze überprüft. Wenn in der Anforderung schädliche Inhalte vorhanden sind, die über den Grenzwert für die Maximale Anforderungsstellenüberprüfung hinausgehen, erkennt der WAF ihn nicht.
Maximale Dateigrößenbeschränkungen deaktivieren
Durch Deaktivieren der Dateigrößenbeschränkungen für Ihre WAF können große Dateien hochgeladen werden, ohne dass Ihre WAF diese Dateiuploads ablehnt. Durch die Möglichkeit, große Dateien hochzuladen, erhöht sich das Risiko, dass Ihr Back-End überfordert wird. Wenn Sie wissen, dass die maximale Größe eines Dateiuploads möglich ist, können Sie eine Größenbeschränkung für Dateiuploads festlegen, die etwas über der erwarteten maximalen Größe liegt. Das Einschränken der Dateigröße auf einen normalen Anwendungsfall für Ihre Anwendung ist eine weitere Möglichkeit, Angriffe zu verhindern. Wenn Ihre Dateiuploads jedoch regelmäßig über das maximale limit für erzwingbare Dateiuploadgrößen hinausgehen, müssen Sie die Dateigrößenbeschränkungen für Dateiuploads möglicherweise vollständig deaktivieren, um falsch positive Ergebnisse zu vermeiden.
Hinweis
Wenn Sie wissen, dass Ihre App nie einen Dateiupload über einer bestimmten Größe benötigt, können Sie dies durch Festlegen eines Grenzwerts einschränken.
Warnung
Beim Zuweisen eines neuen verwalteten Regelsets zu einer WAF-Richtlinie werden alle vorherigen Anpassungen aus den vorhandenen verwalteten Regelets wie Regelzustand, Regelaktionen und Ausschlüsse auf Regelebene auf die Standardwerte des neuen verwalteten Regelets zurückgesetzt. Alle benutzerdefinierten Regeln, Richtlinieneinstellungen und globalen Ausschlüsse bleiben jedoch während der neuen Regelsatzzuweisung unberührt.
Firewallmetriken (nur WAF v1)
Für V1-Webanwendungsfirewalls stehen nun die folgenden Metriken im Portal zur Verfügung:
- Anzahl blockierter Anforderungen durch die Web Application Firewall Anzahl der geblockten Anfragen
- Web Application Firewall Anzahl blockierter Regeln alle Regeln, die
and die Anforderung blockiert wurde - Web Application Firewall Gesamtregelverteilung: alle Regeln, die während der Auswertung übereinstimmten
Um Metriken zu aktivieren, wählen Sie die Registerkarte "Metriken " im Portal aus, und wählen Sie eine der drei Metriken aus.