Web 应用程序防火墙请求和文件上传大小限制

Web 应用程序防火墙允许你在下限和上限内配置请求大小限制。 运行核心规则集 3.2 或更高版本的应用程序网关 Web 应用程序防火墙具有更多的请求和文件上传大小控制，包括禁用请求和/或文件上传的最大大小强制实施的能力。

请求正文大小字段和文件上传大小限制在 Web 应用程序防火墙中都是可配置的。 最大请求正文大小字段以 KB 为单位进行指定并控制整个请求大小限制（不包括任何文件上传）。 文件上传限制字段以兆字节为单位进行指定并控制允许的最大文件上传大小。 有关请求大小限制和文件上传大小限制，请参阅应用程序网关限制。

对于运行核心规则集 3.2 或更高版本的应用程序网关 v2 Web 应用程序防火墙，可以禁用最大请求正文大小强制实施和最大文件上传大小强制实施，Web 应用程序防火墙不再因太大而拒绝请求或文件上传。 当在 Web 应用程序防火墙内禁用最大请求正文大小强制实施和最大文件上传大小强制实施时，应用程序网关的限制决定了允许的最大大小。 有关详细信息，请参阅应用程序网关限制。

只有内容类型为 multipart/form-data 的请求被视为文件上传。 若要将内容视为文件上传，它必须是多部分窗体的一部分，并且包含文件名标头。 对于所有其他内容类型，请求正文大小具有限制。

Web 应用程序防火墙提供了配置设置，用于启用或禁用请求正文检查。 默认情况下，请求正文检查处于启用状态。 如果请求正文检查已禁用，则Web 应用程序防火墙不会评估 HTTP 消息正文的内容。 在这种情况下，Web 应用程序防火墙会继续对标头、Cookie 和 URI 强制实施 Web 应用程序防火墙规则。 在运行核心规则集 3.1（或更低版本）的 Web 应用程序防火墙中，如果请求正文检查处于关闭状态，则最大请求正文大小字段不适用，且无法设置。

对于运行核心规则集 3.2（或更高版本）的策略 Web 应用程序防火墙，可以独立于请求正文大小强制实施和文件上传大小限制启用/禁用请求正文检查。 此外，运行核心规则集 3.2（或更高版本）的策略 Web 应用程序防火墙可以独立于最大请求正文大小设置最大请求正文检查限制。 最大请求正文检查限制告知 Web 应用程序防火墙它应检查规则并将其应用到请求中的深度：为此字段设置较低的值可以提高 Web 应用程序防火墙性能，但可能允许未指定的恶意内容通过 Web 应用程序防火墙。

对于运行核心规则集 3.1（或更低版本）的较旧 Web 应用程序防火墙，关闭请求正文检查会允许将大于 128 KB 的消息发送到 Web 应用程序防火墙，但不会检查消息正文是否存在漏洞。 对于运行核心规则集 3.2（或更高版本）的策略 Web 应用程序防火墙，可以禁用最大请求正文限制以实现相同的结果。

当 Web 应用程序防火墙收到超过大小限制的请求时，行为取决于 Web 应用程序防火墙的模式和所使用的托管规则集的版本。

• 当 Web 应用程序防火墙策略处于阻止模式时，Web 应用程序防火墙会记录并阻止超出大小限制的请求和文件上传。
• 在 Web 应用程序防火墙策略处于检测模式时，Web 应用程序防火墙会针对指定的上限制检查正文，并忽略其余内容。 如果Content-Length标头存在，并且大于文件上传限制，Web 应用程序防火墙就会忽略整个正文，并记录该请求。

如果你是运行核心规则集 3.2 或更高版本的应用程序网关 v2 Web 应用程序防火墙客户，并且请求或文件上传出现问题、因最大大小而被错误拒绝，或者看到未完全检查请求，则可能需要验证是否已正确设置所有值。 使用 PowerShell 或 Azure 命令行接口，可以验证每个值的设置，并根据需要更新任何值。

强制实施请求正文检查

• PowerShell：“RequestBodyCheck”
• CLI: "request_body_check"
• 控制 Web 应用程序防火墙是否会检查请求正文，并按照 Web 应用程序防火墙策略的设置将托管规则和自定义规则应用到请求正文流量。

最大请求正文检查限制 (KB)

• PowerShell：“RequestBodyInspectLimitInKB”
• CLI: "request_body_inspect_limit_in_kb"
• 控制 Web 应用程序防火墙检查托管/自定义规则并将其应用到请求正文中的深度。 一般来说，你希望将此设置为可能的最大设置，但一些客户可能希望将其设置为较低的值以提高性能。

强制实施最大请求正文限制

• PowerShell：“RequestBodyEnforcement”
• CLI: "request_body_enforcement"
• 控制 Web 应用程序防火墙是否会对请求正文强制实施最大大小限制；关闭后，它不会因太大而拒绝任何请求。

最大请求正文大小 (KB)

• PowerShell：“MaxRequestBodySizeInKB”
• CLI: "max_request_body_size_in_kb"
• 控制在 Web 应用程序防火墙因超过最大大小设置而拒绝请求正文之前请求正文的大小。

强制实施最大文件上传限制

• PowerShell：“FileUploadEnforcement”
• CLI: "file_upload_enforcement"
• 控制 Web 应用程序防火墙是否会对文件上传强制实施最大大小限制；关闭后，它不会因太大而拒绝任何文件上传。

最大文件上传大小 (MB)

• PowerShell：“FileUploadLimitInMB”
• CLI: file_upload_limit_in_mb
• 控制在 Web 应用程序防火墙因超过最大大小设置而拒绝文件上传之前文件上传的大小。

可以使用以下 PowerShell 命令返回 Azure 策略并查看其当前设置。

$plcy = Get-AzApplicationGatewayFirewallPolicy -Name <policy-name> -ResourceGroupName <resourcegroup-name>
$plcy.PolicySettings

可以使用这些命令将策略设置更新为检查限制和最大大小限制相关字段所需的值。 对于要更新的其他值之一，可以在以下示例中交换“RequestBodyEnforcement”。

$plcy = Get-AzApplicationGatewayFirewallPolicy -Name <policy-name> -ResourceGroupName <resourcegroup-name>
$plcy.PolicySettings.RequestBodyEnforcement=false
Set-AzApplicationGatewayFirewallPolicy -InputObject $plcy

• 获取 Web 应用程序防火墙策略
• 策略设置属性
• 策略设置类
• 新策略设置

可以使用 Azure CLI 从 Azure 策略设置返回这些字段的当前值，并使用这些命令将这些字段更新为所需值。

az network application-gateway waf-policy update --name <WAF Policy name> --resource-group <WAF policy RG> --set policySettings.request_body_inspect_limit_in_kb='128' policySettings.max_request_body_size_in_kb='128' policySettings.file_upload_limit_in_mb='100' --query policySettings -o table

输出：

FileUploadEnforcement    FileUploadLimitInMb    MaxRequestBodySizeInKb    Mode       RequestBodyCheck    RequestBodyEnforcement    RequestBodyInspectLimitInKB    State
-----------------------  ---------------------  ------------------------  ---------  ------------------  ------------------------  -----------------------------  -------
True                     100                   128                      Detection  True                True                      128                           Enabled

• 配置 Web 应用程序防火墙设置后，可以了解如何查看 Web 应用程序防火墙日志。 有关详细信息，请参阅应用程序网关诊断。
• 详细了解 Azure 网络安全