我正在为 Azure 提供的 Azure 前门服务设置 WAF 规则Microsoft。目前,我正在使用默认规则集 1.0 提供的 OTB 来阻止前 10 个 OWSAP 威胁。
启用默认规则后,我们会观察到 403 错误,并且无法了解哪个策略阻止了请求。
对 WAF 策略的任何更改至少需要 7 到 15 分钟才能应用。我需要了解是否有任何有效的方法来进行更改和测试。
确定需要启用或禁用哪些规则集的最佳方法是什么?
我们尝试启用所有规则集,网站开始抛出 403 错误。目前,我们一次启用一个规则,并验证该规则是否阻止任何请求。
带有 FrontDoor 日志的 WAF 与 Azure Monitor 集成。可以启用诊断设置,并跟踪与FrontdoorWebApplicationFirewallLog日志中的 WAF 规则匹配的任何请求。以下示例查询获取被阻止请求的 WAF 日志:
AzureDiagnostics
| where ResourceType == "FRONTDOORS" and Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
此外,可以参考 Azure Front Door Service 中的监视指标和日志,以及一个很好的博客,其中介绍了如何查看 WAF 诊断日志和优化 WAF 策略规则,即使是应用 GW 示例。