Web 应用程序防火墙 DRS 和 CRS 规则组和规则

出现常见的漏洞和攻击时，应用程序网关 Web 应用程序防火墙 (WAF) 中由 Azure 管理的规则集会主动保护 Web 应用程序。 这些规则集由 Azure 管理，根据需要接收更新，以针对新的攻击特征进行安全防护。 默认规则集还包含 Microsoft 威胁情报收集规则。 Microsoft 情报团队协作编写这些规则，确保增强覆盖范围，针对特定漏洞进行修补，并改进误报率。

你还可以选择使用基于 OWASP 核心规则集 3.2、3.1、3.0 或 2.2.9 定义的规则。

你可以单独禁用各个规则，也可以为每个规则设置特定操作。 本文包含当前可用的规则和规则集。 如果已发布的规则集需要更新，我们将在此处记录它。

Azure 托管的默认规则集 (DRS) 包含针对以下威胁类别的规则：

• 跨站点脚本
• Java 攻击
• 本地文件包含
• PHP 注入攻击
• 远程命令执行
• 远程文件包含
• 会话固定
• SQL 注入保护
• 协议攻击者。将新的攻击签名添加到规则集时，DRS 的版本号将递增。

Microsoft 威胁情报收集规则由 Microsoft 威胁情报团队合作编写，以提供更高的覆盖范围、针对特定漏洞的补丁，并更好地减少误报。

默认情况下，应用程序网关 WAF 预配置了 CRS 3.2，但你可以选择使用任何其他受支持的 CRS 版本。

与早期版本的 CRS 相比，CRS 3.2 提供了一个新引擎和新规则集来防御 Java 注入、一组初始文件上传检查以及误报更少。 还可以根据需求自定义规则。 详细了解新的 Azure WAF 引擎。

WAF 可针对以下 Web 漏洞提供保护：

• SQL 注入攻击
• 跨站点脚本攻击
• 其他常见攻击，例如命令注入、HTTP 请求走私、HTTP 响应拆分和远程文件包含
• HTTP 协议违规
• HTTP 协议异常，例如缺少 Host、User-Agent 和 Accept 头。
• 自动程序、爬网程序和扫描程序
• 常见应用程序错误配置（例如 Apache 和 IIS）

DRS 和 CRS 在 WAF 策略的检测模式下默认启用。 可以禁用或启用托管规则集内的各个规则，以满足应用程序要求。 还可以根据规则设置特定操作。 DRS/CRS 支持块、日志和异常分数操作。 Bot Manager 规则集支持允许、阻止和记录操作。

有时你可能需要忽略 WAF 评估中的某些请求属性。 一个常见的例子是用于身份验证的 Active Directory 插入令牌。 可以将排除项配置为在评估特定 WAF 规则时应用，或全局应用于所有 WAF 规则的评估。 排除规则适用于整个 Web 应用。 有关详细信息，请参阅包含应用程序网关排除列表的 Web 应用程序防火墙 (WAF)。

默认情况下，当请求与规则匹配时，DRS 版本 2.1 / CRS 版本 3.2 及更高版本会使用异常评分。 默认情况下，CRS 3.1 和更低版本会阻止匹配的请求。 此外，如果想要绕过核心规则集中的任何预配置规则，可以在同一 WAF 策略中配置自定义规则。

在评估核心规则集中的规则之前，总是先应用自定义规则。 如果请求与某个自定义规则相匹配，将应用相应的规则操作。 请求将被阻止，或通过后端传递。 不会处理任何其他自定义规则或核心规则集中的规则。

使用 CRS 或 DRS 2.1 及更高版本时，WAF 默认配置为使用异常评分。 即使 WAF 处于防护模式，符合任何规则的流量也不会被立即阻止。 OWASP 规则集为每个规则定义严重性：“严重”、“错误”、“警告”或“通知”。 这些严重性会影响请求的数值，该数值称为异常分数：

如果异常分数为 5 或更高，并且 WAF 处于预防模式，则会阻止请求。 如果异常分数为 5 或更高，并且 WAF 处于检测模式，则会记录请求，但不会阻止请求。

例如，在预防模式下，一个“严重”规则匹配就足以让 WAF 阻止请求，因为总体异常分数为 5。 然而，一个“警告”规则匹配仅会使异常得分增加3分，这本身还不足以阻止流量。 触发异常规则时，它会在日志中显示“匹配”操作。 如果异常分数达到 5 或更高，将根据 WAF 策略是处于“预防”模式还是“检测”模式，触发单独的规则，并执行“阻止”或“检测到”的操作。 有关详细信息，请参阅异常评分模式。

如果要升级或分配新的规则集版本，并且想要保留现有规则替代和排除项，建议使用 PowerShell、CLI、REST API 或模板进行规则集版本更改。 规则集的新版本可以有更新的规则、附加规则组，并可能对现有签名进行更新，以强制实施更好的安全性并减少误报。 建议验证测试环境中的更改，根据需要微调，然后在生产环境中部署。

DRS 2.1 规则可以比早期版本的 DRS 提供更好的保护。 它包括 Microsoft 威胁情报团队开发的更多规则和特征更新，因此可以减少误报。 它还支持 URL 解码以外的转换。

DRS 2.1 包括下表中所示的 17 个规则组。 每个组包含多个规则，你可以自定义各个规则、规则组或整个规则集的行为。 DRS 2.1 以 Open Web Application Security Project (OWASP) 核心规则集 (CRS) 3.3.2 为基础，包括 Microsoft 威胁情报团队开发的其他专有保护规则。

CRS 3.2 包括下表中所示的 14 个规则组。 每个组包含多个可以禁用的规则。 规则集基于 OWASP CRS 3.2.0 版本。

CRS 3.1 包括下表中所示的 14 个规则组。 每个组包含多个可以禁用的规则。 规则集基于 OWASP CRS 3.1.1 版本。

CRS 3.0 包含下表中所示的 13 个规则组。 每个组包含多个可以禁用的规则。 规则集基于 OWASP CRS 3.0.0 版本。

CRS 2.2.9 包含下表中所示的 10 个规则组。 每个组包含多个可以禁用的规则。

Bot Manager 1.0 规则集可防范恶意机器人并检测出善意机器人。 这些规则通过将机器人流量划分为“善意”、“恶意”或“未知”机器人，对 WAF 检测到的机器人进行精细控制。

Bot Manager 1.1 规则集是 Bot Manager 1.0 规则集的增强版。 它增强了对恶意机器人的防范，并增加了善意机器人检测。

在应用程序网关上使用 Web 应用程序防火墙时可以使用以下规则组和规则。

• 使用 Azure 门户自定义 Web 应用程序防火墙规则
• 详细了解 Azure 网络安全