Брандмауэр веб-приложений группы правил и правила CRS DRS и CRS

Управляемый Azure набор правил по умолчанию (DRS) в брандмауэре веб-приложений (WAF) Шлюза приложений активно защищает веб-приложения от распространенных уязвимостей и эксплойтов. Эти наборы правил, управляемые Azure, получают обновления, необходимые для защиты от новых подписей атак. Набор правил по умолчанию также включает правила сбора данных Microsoft Threat Intelligence. Команда Microsoft Intelligence сотрудничает с этими правилами, обеспечивая расширенное покрытие, конкретные исправления уязвимостей и улучшенное снижение ложноположительных срабатываний.

У вас также есть возможность использовать правила, определенные на основе основного набора правил OWASP 3.2 (CRS 3.2).

Вы можете отключить правила по отдельности или задать определенные действия для каждого правила. В этой статье перечислены доступные текущие правила и наборы правил. Если для опубликованного набора правил требуется обновление, мы задокументируем его здесь.

Набор правил по умолчанию 2.1

Набор правил по умолчанию (DRS) 2.1 основан на основном наборе правил (CRS) Open Web Application Security Project (OWASP) 3.3.2 и включает дополнительные собственные правила защиты, разработанные группой Microsoft Threat Intelligence, и обновления сигнатур для уменьшения количества ложных срабатываний. Кроме того, эта версия поддерживает преобразования, помимо декодирования URL-адресов.

DRS 2.1 предлагает новый движок и новые наборы правил для защиты от внедрения Java, первоначальный набор проверок загрузки файлов и меньшее количество ложных срабатываний по сравнению с версиями CRS. Вы можете также настроить правила в соответствии со своими потребностями. Узнайте больше о новой подсистеме Azure WAF.

DRS 2.1 содержит 17 групп правил, как показано в следующей таблице. Каждая группа содержит несколько правил, и вы можете настроить поведение для отдельных правил, групп правил или всего набора правил.

Рекомендации по тонкой настройке для DRS 2.1

Используйте следующие рекомендации для настройки WAF при начале работы с DRS 2.1 в Шлюзе приложений WAF:

Основной набор правил 3.2

Рекомендуемый управляемый набор правил — это набор правил по умолчанию 2.1, который основан на основном наборе правил (CRS) Open Web Application Security Project (OWASP) 3.3.2 и включает дополнительные собственные правила защиты, разработанные командой Microsoft Threat Intelligence, и обновления сигнатур для уменьшения количества ложных срабатываний. В качестве альтернативы DRS 2.1 вы можете использовать CRS 3.2, которая основана на версии OWASP CRS 3.2.0.

CRS 3.2 включает в себя 14 групп правил, как показано в таблице ниже. Каждая группа содержит несколько правил, которые можно отключить.

Настройка управляемых наборов правил

DrS и CRS включены по умолчанию в режиме обнаружения в политиках WAF. Вы можете отключить или включить отдельные правила в управляемом наборе правил в соответствии с требованиями приложения. Вы также можете установить определенные действия для каждого правила. DrS/CRS поддерживает действия оценки блоков, журналов и аномалий. Набор правил Bot Manager поддерживает действия allow, block и log.

Иногда может потребоваться исключение определенных атрибутов запроса из оценки WAF. Распространенный пример — дополнительные токены Active Directory, которые используются для проверки подлинности. Вы можете настроить исключения, которые будут применяться при оценке определенных правил WAF или применяться глобально к оценке всех правил WAF. Правила исключений применяются ко всему веб-приложению. Дополнительные сведения см. в разделе Брандмауэр веб-приложений (WAF) со списками исключений Шлюз приложений.

По умолчанию DRS версии 2.1 / CRS версии 3.2 и выше использует оценку аномалий, когда запрос соответствует правилу. CRS 3.1 и ниже блокируют соответствующие запросы по умолчанию. Кроме того, настраиваемые правила можно настроить в той же политике WAF, если вы хотите обойти любые предварительно настроенные правила в наборе основных правил.

Пользовательские правила всегда применяются перед вычислением правил в наборе основных правил. Соответствующее действие правила применяется, если запрос соответствует пользовательскому правилу. Запрос будет либо заблокирован, либо передан на сервер. Никакие другие пользовательские правила или правила в наборе основных правил не обрабатываются.

Оценка аномалий

При использовании CRS или DRS 2.1 и более поздних версий WAF по умолчанию использует оценку аномалий. Трафик, соответствующий любому правилу, не блокируется сразу, даже если WAF находится в режиме предотвращения. Вместо этого наборы правил OWASP определяют значение серьезности для каждого правила: Критический, Ошибка, Предупреждение или Уведомление. Значение серьезности влияет на числовое значение запроса, которое называется оценка аномалии:

Если оценка аномалий составляет 5 или больше, а WAF находится в режиме предотвращения, запрос блокируется. Если оценка аномалии составляет 5 или больше, а WAF находится в режиме обнаружения, запрос регистрируется, но не блокируется.

Например, достаточно одного совпадения с критически важным правилом, чтобы WAF блокировать запрос в режиме предотвращения, так как общая оценка аномалий составляет 5. Но одно совпадение с правилом уровня Предупреждение увеличивает оценку аномалии только на 3, и этого недостаточно для блокировки трафика. При активации правила аномалии в журналах отображается действие "Сопоставлено". Если оценка аномалии равна 5 или выше, активируется отдельное правило с действием "Заблокировано" или "Обнаружено" в зависимости от того, находится ли политика WAF в режиме предотвращения или обнаружения. Дополнительные сведения см. в режиме оценки аномалий.

Уровень паранойи

Каждое правило назначается определённому уровню паранойи (PL). Правила, настроенные в Paranoia Level 1 (PL1), менее агрессивны и редко приводят к ложным срабатываниям. Они обеспечивают базовую безопасность с минимальной потребностью в тонкой настройке. Правила в PL2 обнаруживают больше атак, но ожидается, что они будут вызывать ложные срабатывания, которые следует доработать.

По умолчанию версии правил DRS 2.1 и CRS 3.2 предварительно настроены в Paranoia Level 2, включая правила, назначенные как в PL1, так и в PL2. Если вы хотите использовать WAF исключительно с PL1, вы можете отключить любое или все правила PL2 или изменить их действие на 'log'. PL3 и PL4 в настоящее время не поддерживаются в Azure WAF.

Обновление или изменение версии набора правил

Если вы обновляете или назначаете новую версию набора правил и хотите сохранить существующие переопределения и исключения правил, рекомендуется использовать PowerShell, CLI, REST API или шаблон для внесения изменений в версию набора правил. Новая версия набора правил может иметь более новые правила, дополнительные группы правил и могут иметь обновления существующих подписей, чтобы обеспечить более высокую безопасность и уменьшить ложные срабатывания. Рекомендуется проверить изменения в тестовой среде, при необходимости выполнить тонкую настройку, а затем развернуть их в рабочей среде.

OWASP CRS 3.1

CRS 3.1 включает в себя 14 групп правил, как показано в таблице ниже. Каждая группа содержит несколько правил, которые можно отключить. Набор правил основан на OWASP CRS 3.1.1 версии.

Менеджер ботов 1.0

Набор правил Bot Manager 1.0 обеспечивает защиту от вредоносных ботов и обнаружения хороших ботов. Правила обеспечивают детальный контроль над ботами, обнаруженными WAF, классифицируя трафик бота как "Хороший", "Плохой" или "Неизвестный".

Менеджер ботов 1.1

Набор правил Bot Manager 1.1 — это улучшение набора правил Bot Manager 1.0. Она обеспечивает расширенную защиту от вредоносных ботов и повышает уровень обнаружения ботов.

При использовании Брандмауэра веб-приложений в Шлюзе приложений доступны следующие группы правил и правила.

Следующие наборы правил — группы и правила CRS 3.0 и CRS 2.2.9 больше не поддерживаются в Брандмауэре веб-приложений Azure в Шлюзе приложений. Мы рекомендуем вам обновиться до DRS 2.1 / CRS 3.2

Связанный контент

• Настройка правил Брандмауэра веб-приложения с помощью портала Azure
• Дополнительные сведения о безопасности сети Azure