Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Web Application Firewall permite configurar limites de tamanho de solicitação dentro de um limite inferior e superior. Os Application Gateways Web Application Firewalls que executam o Core Rule set 3.2 ou posterior têm mais controles de tamanho de solicitação e upload de arquivos, incluindo a capacidade de desabilitar a imposição de tamanho máximo para solicitações e/ou uploads de arquivos.
Importante
Estamos no processo de implementação de um novo recurso para os Firewalls de Aplicativos Web do Application Gateway v2 que executam o Core Rule Set 3.2 ou posterior, que permite um controlo mais preciso do tamanho do corpo da solicitação, do tamanho do upload do arquivo e da inspeção do corpo da solicitação. Se você estiver executando o Application Gateway v2 Web Application Firewall com Core Rule set 3.2 ou posterior e notar solicitações sendo rejeitadas (ou não rejeitadas) por um limite de tamanho, consulte as etapas de solução de problemas na parte inferior desta página.
Limites
O campo de tamanho do corpo do pedido e o limite de tamanho de carregamento de ficheiros são configuráveis na Firewall de Aplicações Web. O campo de tamanho máximo do corpo do pedido é especificado em quilobytes e controla o limite geral do tamanho do pedido, excluindo todos os carregamentos de ficheiros. O campo de limite de upload de arquivo é especificado em megabytes e rege o tamanho máximo permitido de upload de arquivo. Para obter os limites de tamanho de solicitação e de upload de arquivo, consulte Limites do Application Gateway.
Para Firewalls de Aplicativos Web do Application Gateway v2 que executam o Conjunto de Regras Principais 3.2 ou mais recente, a imposição do tamanho máximo do corpo da solicitação e a imposição do tamanho máximo do upload de arquivos podem ser desabilitadas e o Web Application Firewall não rejeita mais uma solicitação ou upload de arquivo por ser muito grande. Quando a imposição do tamanho máximo do corpo da solicitação e a imposição do tamanho máximo do upload do arquivo são desabilitadas no Firewall do Aplicativo Web, os limites do Application Gateway determinam o tamanho máximo permitido. Para obter mais informações, consulte Limites do Application Gateway.
Somente solicitações com Content-Type de multipart/form-data são consideradas para o carregamento de arquivos. Para que o conteúdo seja considerado como um upload de arquivo, ele deve fazer parte de um formulário com várias partes com um cabeçalho de nome de arquivo . Para todos os outros tipos de conteúdo, aplica-se o limite de tamanho do corpo da solicitação.
Nota
Se você estiver executando o Conjunto de Regras Principais 3.2 ou posterior e tiver uma regra personalizada de alta prioridade que executa ações com base no conteúdo dos cabeçalhos, cookies ou URI de uma solicitação, isso terá precedência sobre qualquer tamanho máximo de solicitação ou tamanho máximo de upload de arquivo. Essa otimização permite que o Web Application Firewall execute regras personalizadas de alta prioridade que não exigem a leitura da solicitação completa primeiro.
Exemplo: Se você tiver uma regra personalizada com prioridade 0 (a prioridade mais alta) definida para permitir uma solicitação com o cabeçalho xyz, mesmo que o tamanho da solicitação seja maior do que o limite máximo de tamanho da solicitação, ela será permitida antes que o limite de tamanho máximo seja imposto
Solicitar inspeção do organismo
O Firewall de Aplicações Web oferece uma configuração para ativar ou desativar a inspeção do corpo da solicitação. Por padrão, a inspeção do órgão de solicitação está habilitada. Se a inspeção do corpo de solicitação estiver desabilitada, o Web Application Firewall não avaliará o conteúdo do corpo de uma mensagem HTTP. Nesses casos, o Web Application Firewall continua a impor regras do Web Application Firewall em cabeçalhos, cookies e URI. Nos Firewalls de Aplicativos Web que executam o Conjunto de Regras Principais 3.1 (ou inferior), se a inspeção do corpo da solicitação estiver desativada, o campo Tamanho máximo do corpo da solicitação não será aplicável e não poderá ser definido.
Para Firewalls de Aplicações Web com Políticas que executam o Conjunto de Regras Principal 3.2 (ou mais recente), a inspeção do corpo da solicitação pode ser ativada/desativada independentemente do controle do tamanho do corpo da solicitação e dos limites de tamanho para upload de ficheiros. Além disso, os firewalls de aplicativos Web de política que executam o Core Rule set 3.2 (ou mais recente) podem definir o limite máximo de inspeção do corpo de solicitação, independentemente do tamanho máximo do corpo da solicitação. O limite máximo de inspeção do corpo de solicitação informa ao Web Application Firewall a profundidade de uma solicitação que ele deve inspecionar e aplicar regras; definir um valor mais baixo para esse campo pode melhorar o desempenho do Web Application Firewall, mas pode permitir que conteúdo mal-intencionado não inspecionado passe pelo Web Application Firewall.
Para firewalls de aplicativos Web mais antigos que executam o Core Rule set 3.1 (ou inferior), desativar a inspeção do corpo da solicitação permite que mensagens maiores que 128 KB sejam enviadas para o Web Application Firewall, mas o corpo da mensagem não é inspecionado em busca de vulnerabilidades. Para Firewalls de Aplicativos Web de Política que executam o Conjunto de Regras Principais 3.2 (ou mais recente), você pode obter o mesmo resultado desativando o limite máximo de corpo de solicitação.
Quando o Web Application Firewall recebe uma solicitação que está acima do limite de tamanho, o comportamento depende do modo do Web Application Firewall e da versão do conjunto de regras gerenciado que você usa.
- Quando sua política do Web Application Firewall está no modo de prevenção, o Web Application Firewall registra e bloqueia solicitações e uploads de arquivos que estão acima dos limites de tamanho.
- Quando a política do Web Application Firewall está no modo de deteção, o Web Application Firewall inspeciona o corpo até ao limite especificado e ignora o resto. Se o
Content-Lengthcabeçalho estiver presente e for maior do que o limite de upload de arquivo, o Web Application Firewall ignorará todo o corpo e registrará a solicitação.
Resolução de Problemas
Se você for um cliente do Application Gateway v2 Web Application Firewall executando o Core Rule set 3.2 ou posterior e tiver problemas com solicitações ou uploads de arquivos, sendo rejeitados incorretamente para o tamanho máximo, ou se vir solicitações que não estão sendo inspecionadas completamente, talvez seja necessário verificar se todos os valores estão definidos corretamente. Usando o PowerShell ou a Interface de Linha de Comando do Azure, você pode verificar para que cada valor está definido e atualizar quaisquer valores conforme necessário.
Fazer cumprir a inspeção do órgão de solicitação
- PowerShell: "RequestBodyCheck"
- CLI: "request_body_check"
- Controla se o Web Application Firewall inspeciona o corpo da solicitação e aplica regras gerenciadas e personalizadas ao tráfego do corpo da solicitação de acordo com as configurações da política do Web Application Firewall.
Limite máximo para inspeção do corpo da solicitação (KB)
- PowerShell: "RequestBodyInspectLimitInKB"
- CLI: "limite_de_inspeção_do_corpo_da_solicitação_em_kb"
- Controla a profundidade no corpo de uma solicitação que o Web Application Firewall inspeciona e aplica regras geridas/personalizadas. De um modo geral, você gostaria de definir isso para a configuração máxima possível, mas alguns clientes podem querer defini-lo para um valor mais baixo para melhorar o desempenho.
Impor limite máximo de corpo de solicitação
- PowerShell: "RequestBodyEnforcement"
- CLI: "aplicação_corpo_requisição"
- Controlar se o seu Web Application Firewall impõe um limite de tamanho máximo aos corpos de solicitação; quando desligado, ele não rejeita nenhuma solicitação por ser muito grande.
Tamanho máximo do corpo da solicitação (KB)
- PowerShell: "MaxRequestBodySizeInKB"
- CLI: "max_request_body_size_in_kb" (tamanho máximo do corpo da solicitação em kB)
- Controla o tamanho de um corpo de solicitação antes que o Web Application Firewall o rejeite por exceder a configuração de tamanho máximo.
Impor limite máximo de upload de arquivos
- PowerShell: "FileUploadEnforcement"
- CLI: "aplicação_de_carregamento_de_ficheiros"
- Controla se o Web Application Firewall impõe um limite de tamanho máximo em uploads de arquivos; quando desligado, ele não rejeita nenhum upload de arquivo por ser muito grande.
Tamanho máximo de carregamento de ficheiros (MB)
- PowerShell: "FileUploadLimitInMB"
- CLI: limite_de_envio_de_ficheiros_em_mb
- Controla o tamanho que um upload de arquivo pode ter antes que o Web Application Firewall o rejeite por exceder a configuração de tamanho máximo.
Nota
"Inspeção do corpo do pedido" verificava anteriormente se o corpo do pedido era inspecionado e se as regras eram aplicadas, bem como se um limite máximo de tamanho era imposto aos corpos dos pedidos. Agora isso é tratado por dois campos separados que podem ser ativados / desativados independentemente.
PowerShell
Você pode usar os seguintes comandos do PowerShell para retornar sua política do Azure e examinar suas configurações atuais.
$plcy = Get-AzApplicationGatewayFirewallPolicy -Name <policy-name> -ResourceGroupName <resourcegroup-name>
$plcy.PolicySettings
Você pode usar esses comandos para atualizar as configurações de política para os valores desejados para os campos relacionados limite de inspeção e limitação de tamanho máximo. Você pode trocar 'RequestBodyEnforcement' no exemplo a seguir por um dos outros valores que deseja atualizar.
$plcy = Get-AzApplicationGatewayFirewallPolicy -Name <policy-name> -ResourceGroupName <resourcegroup-name>
$plcy.PolicySettings.RequestBodyEnforcement=false
Set-AzApplicationGatewayFirewallPolicy -InputObject $plcy
- Obter a Política de Firewall de Aplicativos Web
- Propriedades das configurações de política
- Classe de configurações de política
- Novas configurações de política
Interface de linha de comando
Você pode usar a CLI do Azure para retornar os valores atuais para esses campos de suas configurações de política do Azure e atualizar os campos para os valores desejados usando esses comandos.
az network application-gateway waf-policy update --name <WAF Policy name> --resource-group <WAF policy RG> --set policySettings.request_body_inspect_limit_in_kb='128' policySettings.max_request_body_size_in_kb='128' policySettings.file_upload_limit_in_mb='100' --query policySettings -o table
Saída:
FileUploadEnforcement FileUploadLimitInMb MaxRequestBodySizeInKb Mode RequestBodyCheck RequestBodyEnforcement RequestBodyInspectLimitInKB State
----------------------- --------------------- ------------------------ --------- ------------------ ------------------------ ----------------------------- -------
True 100 128 Detection True True 128 Enabled
Próximos passos
- Depois de definir as configurações do Web Application Firewall, você poderá aprender a exibir os logs do Web Application Firewall. Para obter mais informações, consulte Application Gateway diagnostics.
- Saiba mais sobre a segurança de rede do Azure