问题标签 [azure-waf]

我正在寻找一种为我的应用服务启用 WAF 的方法，但我不想使用应用程序网关，我想知道是否可以在应用服务本身中配置 WAF。在这方面需要一些帮助。

目前我的应用程序托管在 MYAPP.azurewebsites.net 上，我的前门在 MYAPP.azurefd.net 上。我希望我的所有传入流量都路由到 azureFd，这样我就可以获得我设置的 waf 策略的好处。我是否需要在前门配置上执行此操作，或者这是我必须使用的另一种资源？

如果我的应用程序和资源组有 Frontdoor 和 WAF 策略，我真的想知道为什么这不是开箱即用的。

我已经在存储帐户前面设置了 Azure CDN 来托管静态网站，还添加了内容交付网络 WAF 策略来防范常见威胁。内容交付网络 WAF 策略仅允许使用 DefaultRuleSet_1.0，这看起来不错，但以下是我需要满足的一些安全实践要求，我不确定 DefaultRuleSet_1.0 是否涵盖这些要求。

我的问题：

1. DefaultRuleSet_1.0 是否可以防止上述列表中提到的攻击？
2. 如果 DefaultRuleSet_1.0 没有，那么如何添加针对这种攻击的保护？可以添加自定义规则，但这是否意味着这种保护级别？

我在 tomcat 上部署了一个 OmniFaces WebSocket。WebSocket 在 tomcat 上运行良好。

我们的客户端基础结构设置之一是 Azure WAF --> IIS --> Tomcat。我们已经成功测试了从 IIS 到 Tomcat 的 WebSocket。

当我们从 Azure WAF 进行测试时，我们有一个成功的握手（升级请求），但是浏览器没有收到任何推送消息。Microsoft 声称 Azure WAF 默认支持 WebSocket，无需更改设置。

它看起来更像是 Azure WAF 问题，我不确定如何调试该问题。
有什么建议或想法来调试这个问题吗？

我们遇到了某些表单输入被 Azure WAF 托管规则阻止的问题，因为我们的一个内部系统允许某些值并且没有被 WAF（不同的主机）过滤。

我想使用 WAF API（我找不到相关文档）来执行诸如验证来自非 Azure 托管应用程序的表单输入字段值之类的事情，以检查当它们在我们的 Azure 托管应用程序上使用时，它们将被接受。这可能吗？

简单（明显）的用例：

1. 用户在 Azure 之外输入新密码
2. 非 Azure 应用调用 WAF API 验证密码
3. 可以将经过验证的密码安全地输入到 Azure 托管的应用程序中

我有一个使用 JSON 数据的 REST API。监控流量的 Web 应用程序防火墙 (WAF) 使用标准 OWASP 规则。一条规则是阻止包含插入符号的密码。

例如 leA^n12

我可以对密码进行 base64 编码，但我想知道是否有 JSON API 数据流经 WAF 的最佳实践？

Get-AzDiagnosticSetting：异常类型：ErrorResponseException，消息：Microsoft.Azure.Management.Monitor.Models.ErrorResponseException：操作在 Microsoft.Azure.Management.Monitor.DiagnosticSettingsOperations.d__8.MoveNext() 处返回了无效状态代码“BadRequest”-- - 从先前引发异常的位置结束堆栈跟踪 --- 在 Microsoft.Azure.Management.Monitor 的 System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) 的 System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()。 DiagnosticSettingsOperationsExtensions.d__7.MoveNext() --- 在 System.Runtime.CompilerServices.TaskAwaiter 的 System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() 处从先前引发异常的位置结束堆栈跟踪。在 Microsoft.Azure.Commands.Insights.Diagnostics.GetAzureRmDiagnosticSettingCommand.ProcessRecordInternal() 在 Microsoft.Azure.Commands.Insights.MonitorCmdletBase .ExecuteCmdlet()，代码：Null，状态码：Null，原因短语：Null At C:\Users\n1542975\Desktop\MigrationScripts\WAF_Policy.ps1:121 char:26原因短语：Null At C:\Users\n1542975\Desktop\MigrationScripts\WAF_Policy.ps1:121 char:26原因短语：Null At C:\Users\n1542975\Desktop\MigrationScripts\WAF_Policy.ps1:121 char:26

• ... gsettings = Get-AzDiagnosticSetting -ResourceID $FrontDoorWAFPolicyNa ...
• • CategoryInfo : CloseError: (:) [Get-AzDiagnosticSetting], PSInvalidOperationException
  • fullyQualifiedErrorId：Microsoft.Azure.Commands.Insights.Diagnostics.GetAzureRmDiagnosticSettingCommand

我对 Azure 很陌生，所以请在这里放轻松。

我最近在 Azure 上部署了一个 Python/Django 应用程序。在应用程序中，我使用 Python 库urllib通过 URL 检索 Internet 上的文件。我知道代码是正确的，因为应用程序可以在本地运行，但是当我在 Azure 上部署它时，请求遇到 403 错误，导致应用程序崩溃：urllib.error.HTTPError: HTTP Error 403: Forbidden

阅读周围，例如这里，似乎 Azure 阻止了urllib请求。因此，我创建了一个自定义 Web App Firewall (WAF) 策略，在该策略中我禁用了所有防火墙规则，并且奇迹般地应用程序开始工作！这显然不是一个永久的解决方案，所以我问是否有人可以帮助解决以下问题之一，其中任何一个都应该解决我的问题：

1. 有人可以具体告诉我此 Pastebin 列表中的哪个 WAF 规则是阻止 urllib 请求的规则吗？除了短标签之外，我找不到任何文档或描述来解释它们的作用？
2. 有没有办法可以为urllib请求创建 WAF 排除？
3. 是否有替代使用urllib不会遇到 Azure 防火墙问题的方法？

再一次，我对 Azure 的工作方式非常陌生，而且我也不太熟悉如何urllib工作，所以如果你回复（如果你回复了，谢谢），请简单地向我解释一下：）

我们现有的 Azure WAF 规则目前正在阻止所有带有 csrf-token cookie 的请求，因为它被错误地报告为具有 SQL Hex 代码。

因此，我希望在我的 Terraform 配置中从所有 WAF 请求中实现 csrf 令牌排除。任何熟悉如何实现这一点的人？

我将 React 用于我的前端堆栈，将 Python Django 用于具有基本身份验证功能的后端。但是，我从 Azure WAF 收到错误消息，如下所示。

我想知道代码有什么问题？