我正在为 Microsoft Azure 提供的天蓝色前门服务设置 WAF 规则。目前,我正在使用默认规则集 1.0 提供的 OTB 来阻止前 10 个 OWSAP 威胁。
启用默认规则后,我们观察到 403 错误并且无法理解哪个策略阻止了请求。
对 WAF 策略的任何更改至少需要 7 到 15 分钟才能应用。我需要了解是否有任何有效的方法来进行更改和测试。
确定需要启用或禁用哪些规则集的最佳方法是什么?
我们尝试启用所有规则集并且网站开始抛出 403 错误。目前,我们一次启用一个规则并验证该规则是否阻止任何请求。
带有 FrontDoor 日志的 WAF 与Azure Monitor集成。您可以启用诊断设置FrontdoorWebApplicationFirewallLog并跟踪与日志中的 WAF 规则匹配的任何请求。以下示例查询获取有关被阻止请求的 WAF 日志:
AzureDiagnostics
| where ResourceType == "FRONTDOORS" and Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
此外,您可以参考Azure Front Door Service 中的监控指标和日志以及一个很好的博客,该博客讲述了如何查看 WAF 诊断日志和调整 WAF 策略规则,即使它是针对应用程序 GW 示例。