Web 应用程序防火墙 DRS 和 CRS 规则组和规则

应用程序网关 Web 应用程序防火墙（WAF）中的 Azure 托管的默认规则集（DRS）会主动保护 Web 应用程序免受常见漏洞和攻击的攻击。 这些规则集由 Azure 管理，根据需要接收更新，以针对新的攻击特征进行安全防护。 默认规则集还包含 Microsoft 威胁情报收集规则。 Microsoft 情报团队协作编写这些规则，确保增强覆盖范围，针对特定漏洞进行修补，并改进误报率。

你可以单独禁用各个规则，也可以为每个规则设置特定操作。 本文包含当前可用的规则和规则集。 如果已发布的规则集需要更新，我们将在此处记录它。

默认规则集 2.2

默认规则集 （DRS） 2.2 基于 Open Web Application Security Project （OWASP） 核心规则集 3.3.4，对现有检测和新保护进行了优化，包括检测在实际内容类型标头之外声明的内容类型的规则以及增强的远程代码执行 （RCE） 检测。 DRS 2.2 包括由Microsoft威胁情报团队开发的附加专有保护规则，这些规则扩展了 SQL 注入、XSS 和应用程序安全攻击模式的覆盖范围。

DRS 2.2 提供新的引擎和新规则集，用于抵御 Java 注入、初始文件上传检查集，与较旧的 DRS 和 CRS 版本相比，误报更少。 还可以根据需求自定义规则。 详细了解新的 Azure WAF 引擎。

DRS 2.2 包括 18 个规则组，如下表所示。 每个组包含多个规则，你可以自定义各个规则、规则组或整个规则集的行为。

禁用的规则

默认情况下禁用在 Paranoia 级别 2 中配置的 DRS 2.2 规则。 如果您希望将 WAF 策略保持在偏执级别 1 配置，可以将其状态保留为禁用。 如果想要提高策略的偏执狂级别，可以安全地将这些规则的状态更改为启用，并将其操作更改为日志模式。 分析日志，进行所需的微调，并相应地启用规则。 有关详细信息，请参阅 [#paranoia-level](偏执级别) 和 [#tuning-of-managed-rule-sets](托管规则集的调整)

某些 OWASP 规则被 Microsoft 编写的替代品取代。 默认情况下禁用原始规则，其说明以“（替换为 ...）”结尾。

默认规则集 2.1

虽然仍可以使用默认规则集 （DRS） 2.1，但建议使用最新版本的 DRS 2.2。

默认规则集 （DRS） 2.1 基于 Open Web Application Security Project （OWASP） 核心规则集 （CRS） 3.3.2 基线，并包括由Microsoft威胁情报团队开发的附加专有保护规则，以及签名更新以减少误报。 它还支持 URL 解码以外的转换。

DRS 2.1 提供新的引擎和新规则集，用于抵御 Java 注入、初始文件上传检查集，与 CRS 版本相比，误报更少。 还可以根据需求自定义规则。 详细了解新的 Azure WAF 引擎。

DRS 2.1 包括下表中所示的 17 个规则组。 每个组包含多个规则，你可以自定义各个规则、规则组或整个规则集的行为。

DRS 2.1 的微调指南

在应用程序网关 WAF 上开始使用 DRS 2.1 时，请使用以下指南来优化 WAF：

核心规则集（CRS）- 旧版

建议使用的托管规则集是最新的默认规则集 2.2，它基于 Open Web Application Security Project（OWASP）核心规则集（CRS）3.3.4，并包括由 Microsoft 威胁情报团队开发的其他专有保护规则，以及为了减少误报而进行的签名更新。 创建新的 WAF 策略时，应使用最新的推荐规则集版本 DRS 2.2。 如果使用 DRS 2.1、CRS 3.2 或 CRS 3.1 的现有 WAF 策略，建议升级到 DRS 2.2。 有关详细信息，请参阅 升级 CRS 或 DRS 规则集版本。

优化托管规则集

DRS 和 CRS 在 WAF 策略的检测模式下默认启用。 可以禁用或启用托管规则集内的各个规则，以满足应用程序要求。 还可以根据规则设置特定操作。 DRS/CRS 支持阻止操作、日志操作和异常评分操作。 Bot Manager 规则集支持允许、阻止和记录操作。

有时你可能需要忽略 WAF 评估中的某些请求属性。 一个常见的例子是用于身份验证的 Active Directory 插入令牌。 可以将排除项配置为在评估特定 WAF 规则时应用，或全局应用于所有 WAF 规则的评估。 排除规则适用于整个 Web 应用。 有关详细信息，请参阅包含应用程序网关排除列表的 Web 应用程序防火墙 (WAF)。

默认情况下，当请求与规则匹配时，Azure WAF 使用异常评分。 此外，如果要绕过核心规则集中的任何预配置规则，则可以在同一 WAF 策略中配置自定义规则。

在评估核心规则集中的规则之前，总是先应用自定义规则。 如果请求与某个自定义规则相匹配，将应用相应的规则操作。 请求将被阻止，或通过后端传递。 不会处理任何其他自定义规则或核心规则集中的规则。

异常评分

使用 CRS 或 DRS 2.1 及更高版本时，WAF 默认配置为使用异常评分。 即使 WAF 处于防护模式，符合任何规则的流量也不会被立即阻止。 OWASP 规则集为每个规则定义严重性：“严重”、“错误”、“警告”或“通知”。 这些严重性会影响请求的数值，该数值称为异常分数：

如果异常分数为 5 或更高，并且 WAF 处于预防模式，则会阻止请求。 如果异常分数为 5 或更高，并且 WAF 处于检测模式，则会记录请求，但不会阻止请求。

例如，在预防模式下，一个“严重”规则匹配就足以让 WAF 阻止请求，因为总体异常分数为 5。 然而，一个“警告”规则匹配仅会使异常得分增加3分，这本身还不足以阻止流量。 触发异常规则时，它会在日志中显示“匹配”操作。 如果异常分数达到 5 或更高，将根据 WAF 策略是处于“预防”模式还是“检测”模式，触发单独的规则，并执行“阻止”或“检测到”的操作。 有关详细信息，请参阅 异常评分模式。

偏执狂级别

每条规则都在特定的偏执级别 (PL) 分配。 在 Paranoia 级别 1 (PL1) 中配置的规则不太激进，并且几乎从不会触发误报。 它们提供基础安全性，几乎不需要进行微调。 PL2 中的规则会检测到更多攻击，但预期会触发应微调的误报。

默认情况下，DRS 2.2 在 Paranoia 级别 1（PL1）配置，并且禁用所有 PL2 规则。 若要在 PL2 中运行 WAF，可以手动启用任何或所有 PL2 规则。 对于早期的规则集，DRS 2.1 和 CRS 3.2 包括为 Paranoia 级别 2 定义的规则，其中包括 PL1 和 PL2 规则。 如果希望严格在 PL1 范围内操作，可以禁用特定的 PL2 规则或将其动作设置为“日志”。

Azure WAF 目前不支持 Paranoia 级别 3 和 4。

升级或更改规则集版本

如果要升级或分配新的规则集版本，并且想要保留现有规则替代和排除项，建议使用 PowerShell、CLI、REST API 或模板进行规则集版本更改。 新版本的规则集可以有较新的规则或其他规则组，你可能想要安全地验证这些规则。 建议验证测试环境中的更改，根据需要微调，然后在生产环境中部署。 有关详细信息，请参阅 升级 CRS 或 DRS 规则集版本

如果使用 Azure 门户将新的托管规则集分配给 WAF 策略，则现有托管规则集（如规则状态、规则作和规则级别排除）的所有以前的自定义都将重置为新的托管规则集的默认值。 但是，在分配新规则集期间，任何自定义规则、策略设置和全局排除均不受影响。 在生产环境中部署之前，需要重新定义规则替代和验证更改。

机器人管理器 1.0

Bot Manager 1.0 规则集可防范恶意机器人并检测出善意机器人。 这些规则通过将机器人流量划分为“善意”、“恶意”或“未知”机器人，对 WAF 检测到的机器人进行精细控制。

机器人管理器 1.1

Bot Manager 1.1 规则集是 Bot Manager 1.0 规则集的增强版。 它增强了对恶意机器人的防范，并增加了善意机器人检测。

在应用程序网关上使用 Web 应用程序防火墙时可以使用以下规则组和规则。

下面是以前的核心规则集版本。 如果使用 CRS 3.2、CRS 3.1、CRS 3.0 或 CRS 2.2.9，建议升级到 DRS 2.1 的最新规则集版本。 有关详细信息，请参阅 升级或更改规则集版本。

相关内容

• 使用 Azure 门户自定义 Web 应用程序防火墙规则
• 详细了解 Azure 网络安全