问题标签 [azure-waf]

当我们调用域 url 时，www.foo.com它会给出 502 错误

“502 - Web 服务器在充当网关或代理服务器时收到无效响应。”

但是技术网址www.foo.azurewebsites.net运行良好。

我们如何诊断？

1. 由于技术 url 工作正常，我们可以排除应用程序或代码错误
2. 我们运行了 WAF 诊断（pdf 删除了空格，抱歉）

DegradedBackendServerHealth:ApplicationGateway:'FOO',BackendServer:'foo.azurewebsites.net',HealthStatus:Down,Backendservercertificate is not whitelisted with Application Gateway.,报告时间:7/14/2019:34:40AM但不限于）：安全规则、路由、网络性能和一般 TCP 连接故障排除。我们发现后端地址池的所有实例都不正常。确保这些实例运行正常并且应用程序配置正确。检查后端实例是否可以响应来自同一 VNet 中的另一个 VM 的访问。如果配置了公共端点，请确保对 Web 应用程序的浏览器请求可用。

1. 我们检查了配置的证书，它工作正常
2. 几乎所有推荐都经过验证并且工作正常

我们如何进一步诊断并找到根本原因？

我们在 Azure 中的 VM 上托管了一个应用程序，该应用程序位于 WAF 后面，但对于某些用户来说，我们遇到了很多麻烦。

有些用户被 HTTP 错误 400 困扰。请求头的大小太长。该应用程序受 Azure AD 登录保护。

对浏览器的完整响应是：

该错误出现在应用程序的不同路径上，并且看似随机出现。它可能会在一段时间内正常工作，然后用户再次收到错误消息。我们已将问题缩小到对 WAF 的处理，因为当我们将流量更改为直接流向 IIS 网络服务器时，用户没有看到任何这些错误。似乎没有地方可以更改我可以在 WAF 中找到的请求标头的大小限制。有人知道从哪里开始寻找解决方案吗？

Azure WAF 配置如下：

配置

规则

我想知道是否有其他人遇到过 Azure Front Door 和 Azure Web 应用程序防火墙的问题并有解决方案。

WAF 正在阻止对我们的 ASP.NET Web 应用程序的简单 GET 请求。被触发的规则是DefaultRuleSet-1.0-SQLI-942440 SQL Comment Sequence Detected。

根据这个截断的示例，我可以找到 sql 注释序列的唯一位置是 .AspNet.ApplicationCookie：RZI5CL3Uk8cJjmX3B8S-q0ou--OO--bctU5sx8FhazvyvfAH7wH。如果我删除 cookie 值中的 2 个破折号“--”，则请求成功通过防火墙。一旦我将它们添加回来，请求就会被相同的防火墙规则阻止。

看来我有两个选择。禁用我不想执行的规则（或将其从 Block 更改为 Log），或更改 .AspNet.ApplicationCookie 值以确保它不包含任何会触发防火墙规则的文本。cookie 由 Microsoft.Owin.Security.Cookies 库生成，我不确定是否可以更改它的生成方式。

当访问这种格式的 url 时，我的请求得到 403 https://example.com/Test.aspx?param=https%3A%2F%2Fwww.test.com%2Fen-us%3F

我已阅读该文件，但不确定是哪条规则阻止了我的请求。

任何人都可以告诉我：

• 找到确切规则如何阻止我的请求
• 报告阻止的请求（我查看了日志但没有任何内容）

应用于已经开发的 Web 应用程序的 WAF 规则。为了克服WAF阻塞输入，需要在表单提交失败之前转换输入格式或编码输入。如果有可能使用 javascript 验证 WAF 规则，请指导我如何实现。

如果有任何可用的 JS 库或 api，请提及。

我有一个使用OWASP 3.0规则集的 Azure 应用程序网关 Web 应用程序防火墙。我创建了一个自定义策略，因此我可以创建一个自定义规则，如果流量来自特定 IP 地址并且它的优先级为1. 这很棒，我可以在防火墙日志中看到规则已匹配的日志条目。但是，我还看到一些 OWASP 规则也已匹配的日志条目。

我的问题是是否可以阻止对该特定 IP 地址的进一步规则/规则集处理？

我正在尝试在我的应用程序网关上设置 Azure WAF (v2)（当前处于检测模式以首先处理误报情况），但是，我看到了以下警告：

因此，我Diagnostic settings使用以下选项在那里创建了它：

日志：

ApplicationGatewayAccessLog- （检查）

ApplicationGatewayPerformanceLog- （检查）

ApplicationGatewayFirewallLog- （检查）

指标：

AllMetrics- （检查）

我也Send to Log Analytics检查过了。也Archive to a storage account启用了。

但我仍然看到上面提到的相同警告。知道我在这里可能缺少什么吗？

更新，我确实在日志中看到了以下查询的记录，但警告仍然存在：

我正在尝试通过 Terraform 代码执行此操作：

但是，我找不到如何。它是一些晦涩的资源还是根本没有实现？

我有以下设置：

1. 一个带有 WAF V2 的应用程序网关。
2. 两个后端池（比如 Backend1 和 Backend2）。
3. 两个后端都有相同的应用程序，但版本不同（比如 V1 和 V2）。

我希望以下场景起作用：

• 如果从客户端设备到应用程序网关的请求在其标头中包含 V1 的信息，则该请求应转发到 Backend1。
• 如果从客户端设备到应用程序网关的请求在其标头中包含 V2 的信息，则该请求应转发到 Backend2。

您的帮助将不胜感激。

注意：我不希望基于端口的请求后端转发。

In Azure Application gateway, you can associate Listeners with the host name. but, how to change the order of the listeners, since the choice is made in order.

Example:

In this example, never is directed to listenet02.

How to change to: