요약
이 문서는 합법적인 요청이 차단될 때 Azure Application Gateway 대한 WAF(Web Application Firewall) 문제를 해결하는 데 도움이 되므로 보호를 유지하면서 유효한 트래픽을 허용할 수 있습니다.
먼저 WAF 개요 및 WAF 구성 설명서를 검토하고 WAF 모니터링이 사용하도록 설정되어 있는지 확인합니다. 이 문서에서는 WAF 작동 방식, 규칙 집합의 작동 방식 및 WAF 로그에 액세스하는 방법을 설명합니다.
OWASP 규칙 집합은 엄격하게 설계되었으며 WAF를 사용하는 애플리케이션 또는 조직의 특정 요구 사항에 맞게 조정됩니다. 예외, 사용자 지정 규칙을 만들고 문제 또는 거짓 긍정을 유발할 수 있는 규칙을 사용하지 않도록 설정하는 것은 완전히 정상이며 많은 경우에 필요합니다. 사이트별 및 URI별 정책을 사용하면 이러한 변경 내용이 특정 사이트/URI에만 영향을 줄 수 있습니다. 변경 사항은 동일한 문제를 겪지 않는 다른 사이트에 영향을 미치지 않도록 해야 합니다.
WAF 로그 이해
WAF 로그의 목적은 WAF가 일치하거나 차단하는 모든 요청을 표시하는 것입니다. 일치하거나 차단된 모든 평가된 요청의 원장입니다. WAF가 부당하게 요청을 차단하는 경우(잘못된 차단이라고 할 수 있음)를 발견하면, 몇 가지 작업을 수행할 수 있습니다. 먼저 범위를 좁히고 특정 요청을 찾습니다. 로그를 통해 요청의 특정 URI, 타임스탬프 또는 트랜잭션 ID를 찾습니다. 연결된 로그 항목을 찾으면 잘못된 긍정 결과에 대한 작업을 시작할 수 있습니다.
예를 들어 WAF를 통과하려는 문자열 1=1 을 포함하는 합법적인 트래픽이 있다고 가정해 보겠습니다. 요청을 시도할 경우, WAF는 매개 변수 또는 필드에 귀하의 1=1 문자열이 포함된 트래픽을 차단합니다. SQL 삽입 공격과 관련된 문자열입니다. 로그를 살펴보고 요청의 타임스탬프와 차단/일치된 규칙을 볼 수 있습니다.
다음 예제에서는 TransactionId 필드를 사용하여 동일한 요청 중에 네 개의 규칙이 트리거되는 것을 확인할 수 있습니다. 첫 번째는 사용자가 요청에 숫자/IP URL을 사용했기 때문에 일치한다고 말하며, 경고이므로 변칙 점수가 3으로 증가합니다. 일치한 다음 규칙은 찾고 있는 942130번 규칙입니다.
1=1을 details.data 필드에서 볼 수 있습니다. 이로 인해 변칙 점수가 다시 3씩 증가합니다. 이는 경고이기도 합니다. 일반적으로 일치하는 작업이 있는 모든 규칙은 변칙 점수를 증가시키고, 이 시점에서 변칙 점수는 6이 됩니다. 자세한 내용은 변칙 점수 매기기 모드를 참조하세요.
마지막 두 로그 항목은 변칙 점수가 충분히 높기 때문에 요청이 차단되었음을 보여줍니다. 이러한 항목의 동작은 다른 두 항목과 다릅니다. 실제로 요청을 차단했음을 보여줍니다. 이러한 규칙은 필수이며 사용하지 않도록 설정할 수 없습니다. 규칙으로 간주해서는 안 되며, 오히려 WAF 내부의 핵심 인프라로 이해되어야 합니다.
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "920350",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"^[\\\\\\\\d.:]+$\\\" at REQUEST_HEADERS:Host. ",
"data": "40.90.218.160",
"file": "rules\/REQUEST-920-PROTOCOL-ENFORCEMENT.conf\\\"",
"line": "791"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "942130",
"message": "SQL Injection Attack: SQL Tautology Detected.",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"(?i:([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)([\\\\\\\\d\\\\\\\\w]++)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?:(?:=|\\u003c=\\u003e|r?like|sounds\\\\\\\\s+like|regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)\\\\\\\\2|(?:!=|\\u003c=|\\u003e=|\\u003c\\u003e|\\u003c|\\u003e|\\\\\\\\^|is\\\\\\\\s+not|not\\\\\\\\s+like|not\\\\\\\\s+regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?!\\\\\\\\2)([\\\\\\\\d\\\\\\\\w]+)))\\\" at ARGS:text1. ",
"data": "Matched Data: 1=1 found within ARGS:text1: 1=1",
"file": "rules\/REQUEST-942-APPLICATION-ATTACK-SQLI.conf\\\"",
"line": "554"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "",
"ruleSetVersion": "",
"ruleId": "0",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Score: 8)",
"action": "Blocked",
"site": "Global",
"details": {
"message": "Access denied with code 403 (phase 2). Operator GE matched 5 at TX:anomaly_score. ",
"data": "",
"file": "rules\/REQUEST-949-BLOCKING-EVALUATION.conf\\\"",
"line": "57"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "",
"ruleSetVersion": "",
"ruleId": "0",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Inbound Score: 8 - SQLI=5,XSS=0,RFI=0,LFI=0,RCE=0,PHPI=0,HTTP=0,SESS=0): SQL Injection Attack: SQL Tautology Detected.",
"action": "Blocked",
"site": "Global",
"details": {
"message": "Warning. Operator GE matched 5 at TX:inbound_anomaly_score. ",
"data": "",
"file": "rules\/RESPONSE-980-CORRELATION.conf\\\"",
"line": "73"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
위양성 수정
이 정보와 규칙 942130이 1=1 문자열과 일치한다는 사실을 바탕으로, 트래픽이 차단되지 않도록 몇 가지 조치를 취할 수 있습니다.
제외 목록을 사용합니다. 제외 목록에 대한 자세한 내용은 WAF 제외 목록을 참조하세요.
규칙을 사용하지 않도록 설정합니다.
제외 목록 사용
오탐지를 처리하는 데 정보에 입각한 결정을 내리려면, 애플리케이션에서 사용하는 기술을 충분히 숙지하는 것이 중요합니다. 예를 들어, 기술 스택에 SQL Server가 없어서 해당 규칙과 관련하여 오탐지가 발생한다고 가정해 보겠습니다. 이러한 규칙을 사용하지 않도록 설정해도 보안이 반드시 약화되는 것은 아닙니다.
제외 목록을 사용할 때의 이점 중 하나는 요청의 특정 부분만 사용하지 않도록 설정된다는 것입니다. 그러나 이는 전역 설정이므로 WAF를 통과하는 모든 트래픽에 특정 제외를 적용할 수 있음을 의미합니다. 예를 들어 1=1 이 특정 앱에 대한 본문의 유효한 요청이지만 다른 앱에서는 그렇지 않은 경우 문제가 발생할 수 있습니다. 또 다른 이점은 전체 요청을 제외하는 것이 아니라 특정 조건이 충족될 경우 제외할 본문, 헤더 및 쿠키 중에서 선택할 수 있다는 것입니다.
경우에 따라 특정 매개 변수가 직관적이지 않은 방식으로 WAF에 전달되는 경우가 있습니다. 예를 들어 Microsoft Entra ID 사용하여 인증할 때 전달되는 토큰이 있습니다.
__RequestVerificationToken 일반적으로 요청 쿠키로 전달됩니다. 그러나 쿠키를 사용하지 않도록 설정된 경우 이 토큰도 요청 특성 또는 arg로 전달됩니다. 이 경우 __RequestVerificationToken 제외 목록에 요청 특성 이름으로 추가되었는지 확인해야 합니다.
이 예제에서는 text1과 같은 요청 특성 이름을 제외하려고 합니다. 방화벽 로그에서 특성 이름( 데이터: 일치하는 데이터: ARGS:text1: 1=1 내에 있는 1=1)을 볼 수 있기 때문에 이는 명백합니다. 특성은 text1입니다. 이 특성 이름을 몇 가지 다른 방법으로 찾을 수도 있습니다. 요청 특성 이름 찾기를 참조하세요.
Application Gateway에서 다양한 범위 수준에서 WAF에 대한 제외를 만들 수 있습니다. 자세한 내용은 Web Application Firewall 제외 목록 참조하세요.
규칙 비활성화
오탐을 해결하는 또 다른 방법은 WAF가 악의적이라고 판단한 입력과 일치하는 규칙을 비활성화하는 것입니다. WAF 로그를 구문 분석하고 규칙을 942130으로 축소했으므로 Azure 포털에서 사용하지 않도록 설정할 수 있습니다. Azure Portal을 통해 웹 애플리케이션 방화벽 규칙의 사용자 지정을 참조하세요.
규칙을 사용하지 않도록 설정하는 한 가지 이점은 일반적으로 차단되는 특정 조건이 포함된 모든 트래픽이 유효한 트래픽임을 알고 있는 경우 전체 WAF에 대해 해당 규칙을 사용하지 않도록 설정할 수 있다는 것입니다. 그러나 특정 사용 사례에서만 유효한 트래픽인 경우 전역 설정이므로 전체 WAF에 대해 해당 규칙을 사용하지 않도록 설정하여 취약성을 엽니다.
Azure PowerShell을 사용하려면 PowerShell을 통한 웹 애플리케이션 방화벽 규칙 맞춤화를 참조하세요. Azure CLI 사용하려면 Azure CLI 통해 웹 애플리케이션 방화벽 규칙 활성화를 참조하세요.
HAR 파일 기록
브라우저 또는 Fiddler와 같은 외부 도구를 사용하여 HAR(HTTP 보관) 파일을 기록할 수 있습니다. HAR 파일에는 웹 페이지를 로드할 때 브라우저에서 만드는 요청 및 응답에 대한 정보가 포함됩니다. 이 정보는 WAF 문제를 해결하는 데 유용할 수 있습니다.
팁 (조언)
지원에 문의할 때 HAR 파일을 준비하는 것이 좋습니다. 지원 팀은 HAR 파일을 사용하여 문제를 진단할 수 있습니다.
MICROSOFT EDGE HAR 파일을 기록하고 저장하려면 다음 단계를 수행합니다.
F12 또는 Ctrl+Shift+I 눌러 Edge 개발자 도구 시작합니다. 도구 모음 메뉴의 추가 도구 > 개발자 도구에서 도구를 시작할 수도 있습니다.
콘솔 탭에서 콘솔 지우기를 선택하거나 Ctrl+L을 누릅니다.
네트워크 탭을 선택합니다.
네트워크 로그 지우기를 선택하거나 Ctrl+L을 누른 다음 기록되지 않은 경우 레코드 네트워크 로그를 선택합니다.
문제를 해결하려는 WAF에 의해 보호된 웹 페이지를 로드합니다.
네트워크 로그 기록 중지를 선택하여 기록을 중지합니다.
HAR 내보내기(삭제됨)를 선택하고 HAR 파일을 저장합니다.
요청 특성 이름 찾기
Fiddler를 사용하여 개별 요청을 검사하고 호출되는 웹 페이지의 특정 필드를 확인할 수 있습니다. 이 정보를 사용하면 제외 목록을 사용하여 검사에서 특정 필드를 제외하는 데 도움이 됩니다.
이 예제에서는 1=1 문자열이 입력된 필드를 text1이라고 합니다.
제외할 수 있는 필드입니다. 제외 목록에 대한 자세한 내용은 웹 애플리케이션 방화벽 제외 목록을 참조하세요. 이 경우 다음 제외를 구성하여 평가를 제외할 수 있습니다.
방화벽 로그를 검사하여 제외 목록에 추가해야 하는 정보를 확인할 수도 있습니다. 로깅을 사용하도록 설정하려면 Application Gateway에 대한 백 엔드 상태, 리소스 로그 및 메트릭을 참조하세요.
방화벽 로그를 검사하고 검사하려는 요청이 발생한 시간에 대한 PT1H.json 파일을 봅니다.
이 예제에서는 동일한 TransactionID를 가진 4개의 규칙이 있고 모두 정확히 동시에 발생했음을 확인할 수 있습니다.
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "920350",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"^[\\\\\\\\d.:]+$\\\" at REQUEST_HEADERS:Host. ",
"data": "40.90.218.160",
"file": "rules\/REQUEST-920-PROTOCOL-ENFORCEMENT.conf\\\"",
"line": "791"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "OWASP_CRS",
"ruleSetVersion": "3.0.0",
"ruleId": "942130",
"message": "SQL Injection Attack: SQL Tautology Detected.",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \\\"(?i:([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)([\\\\\\\\d\\\\\\\\w]++)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?:(?:=|\\u003c=\\u003e|r?like|sounds\\\\\\\\s+like|regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)\\\\\\\\2|(?:!=|\\u003c=|\\u003e=|\\u003c\\u003e|\\u003c|\\u003e|\\\\\\\\^|is\\\\\\\\s+not|not\\\\\\\\s+like|not\\\\\\\\s+regexp)([\\\\\\\\s'\\\\\\\"`\\\\\\\\(\\\\\\\\)]*?)(?!\\\\\\\\2)([\\\\\\\\d\\\\\\\\w]+)))\\\" at ARGS:text1. ",
"data": "Matched Data: 1=1 found within ARGS:text1: 1=1",
"file": "rules\/REQUEST-942-APPLICATION-ATTACK-SQLI.conf\\\"",
"line": "554"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "",
"ruleSetVersion": "",
"ruleId": "0",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Score: 8)",
"action": "Blocked",
"site": "Global",
"details": {
"message": "Access denied with code 403 (phase 2). Operator GE matched 5 at TX:anomaly_score. ",
"data": "",
"file": "rules\/REQUEST-949-BLOCKING-EVALUATION.conf\\\"",
"line": "57"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
{
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/DEMOWAF-V2",
"operationName": "ApplicationGatewayFirewall",
"category": "ApplicationGatewayFirewallLog",
"properties": {
"instanceId": "appgw_3",
"clientIp": "203.0.113.139",
"clientPort": "",
"requestUri": "\/",
"ruleSetType": "",
"ruleSetVersion": "",
"ruleId": "0",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Inbound Score: 8 - SQLI=5,XSS=0,RFI=0,LFI=0,RCE=0,PHPI=0,HTTP=0,SESS=0): SQL Injection Attack: SQL Tautology Detected.",
"action": "Blocked",
"site": "Global",
"details": {
"message": "Warning. Operator GE matched 5 at TX:inbound_anomaly_score. ",
"data": "",
"file": "rules\/RESPONSE-980-CORRELATION.conf\\\"",
"line": "73"
},
"hostname": "vm000003",
"transactionId": "AcAcAcAcAKH@AcAcAcAcAyAt"
}
}
CRS 규칙 집합이 작동하는 방식과 CRS 규칙 집합 3.0이 이상 점수 매기기 시스템으로 작동한다는 사실을 알고 있는 경우(Web Application Firewall for Azure Application Gateway 참조) action: Blocked 속성이 총 이상 점수에 따라 차단하고 있음을 알 수 있습니다. 집중해야 할 규칙은 상위 2개 규칙입니다.
사용자가 숫자 IP 주소를 사용하여 Application Gateway로 이동했기 때문에 첫 번째 항목이 기록됩니다. 이 경우 무시될 수 있습니다.
두 번째 규칙(규칙 942130)은 흥미로운 규칙입니다. 세부 정보에서 패턴 (1=1)과 일치하고 필드 이름이 text1임을 확인할 수 있습니다. 동일한 이전 단계를 따라 요청 특성 이름이 1=1와 같은 경우 제외합니다.
요청 헤더 이름 찾기
Fiddler를 사용하여 요청 헤더 이름을 찾을 수 있습니다. 다음 스크린샷에서는 Content-Type, User-Agent 등을 포함하는 이 GET 요청에 대한 헤더를 볼 수 있습니다.
요청 및 응답 헤더를 보는 또 다른 방법은 Microsoft Edge 또는 Google Chrome의 개발자 도구를 사용하는 것입니다. 자세한 내용은 HAR 파일 기록을 참조하세요.
요청 쿠키 이름 찾기
요청에 쿠키가 포함된 경우 쿠키 탭을 선택하여 Fiddler에서 볼 수 있습니다.
가양성을 제거하기 위해 전역 매개 변수 제한
요청 본문 검사를 비활성화.
요청 본문 검사를 해제로 설정하면 WAF에서 트래픽의 요청 본문을 평가하지 않습니다. 이는 요청 본문이 애플리케이션에 악의적이지 않다는 것을 알고 있는 경우에 유용할 수 있습니다.
이 옵션을 사용하지 않도록 설정하면 요청 본문만 검사를 무시합니다. 제외 목록 기능을 사용하여 개별 헤더와 쿠키를 제외하지 않는 한 헤더 및 쿠키는 계속 검사됩니다.
최대 요청 본문 제한 사용 안 함
최대 요청 본문 제한을 사용하지 않도록 설정하면 WAF는 크기 제한을 초과하여 거부하지 않고 큰 요청 본문을 처리할 수 있습니다. 이 설정은 정기적으로 큰 요청이 있는 경우에 유용합니다.
이 옵션을 사용하지 않도록 설정하면 요청 본문은 최대 요청 본문 검사 제한까지만 검사됩니다. 요청에 최대 요청 본문 검사 제한을 초과하는 악의적인 콘텐츠가 있는 경우 WAF는 이를 검색하지 않습니다.
최대 파일 크기 제한 사용 안 함
WAF에 대한 파일 크기 제한을 사용하지 않도록 설정하면 WAF에서 이러한 파일 업로드를 거부하지 않고도 큰 파일을 업로드할 수 있습니다. 큰 파일을 업로드할 수 있도록 허용하면 백 엔드가 과부하될 위험이 증가합니다. 파일 업로드의 최대 크기를 알고 있는 경우 파일 업로드에 대한 크기 제한을 예상 최대 크기보다 약간 높게 설정할 수 있습니다. 파일 크기를 애플리케이션의 일반적인 사용 사례로 제한하는 것은 공격을 방지하는 또 다른 방법입니다. 그러나 파일 업로드가 정기적으로 적용 가능한 최대 파일 업로드 크기 제한을 초과하는 경우 가양성이 발생하지 않도록 파일 업로드 크기 제한을 완전히 사용하지 않도록 설정해야 할 수 있습니다.
메모
앱에 지정된 크기 이상의 파일 업로드가 필요하지 않은 경우 제한을 설정하여 제한할 수 있습니다.
경고
WAF 정책에 새 관리 규칙 집합을 할당할 때 규칙 상태, 규칙 작업 및 규칙 수준 제외와 같은 기존 관리 규칙 집합의 모든 이전 사용자 지정은 새 관리 규칙 집합의 기본값으로 다시 설정됩니다. 그러나 사용자 지정 규칙, 정책 설정, 전역 제외는 새 규칙 집합 할당 중에도 영향을 받지 않습니다.
방화벽 메트릭(WAF v1에만 해당)
v1 웹 애플리케이션 방화벽의 경우 이제 포털에서 다음 메트릭을 사용할 수 있습니다.
- Web Application Firewall 차단된 요청 수 차단된 요청 수
- 웹 애플리케이션 방화벽에 의해 차단된 규칙 수: 요청이 차단되고 일치한 모든 규칙의 수
- Web Application Firewall 총 규칙 분포 평가 중에 일치된 모든 규칙
메트릭을 사용하도록 설정하려면 포털에서 메트릭 탭을 선택하고 세 가지 메트릭 중 하나를 선택합니다.