Den här artikeln besvarar vanliga frågor om funktioner för Azure Web Application Firewall på Azure Application Gateway.
Vad är Azure-brandväggen för webbaserade program?
Azure Web Application Firewall är en brandvägg för webbprogram (WAF) som hjälper dig att skydda dina webbprogram från vanliga hot som SQL-inmatning, skriptkörning mellan webbplatser och andra webbexploateringar. Du kan definiera en WAF-princip som består av en kombination av anpassade och hanterade regler för att styra åtkomsten till dina webbprogram.
Du kan tillämpa en WAF-princip på webbprogram som finns på Azure Application Gateway eller Azure Front Door.
Vilka funktioner stöder WAF-produktnivån?
WAF-nivån för Application Gateway stöder alla funktioner som är tillgängliga på standardnivån.
Hur övervakar jag WAF?
Övervaka WAF via diagnostikloggning. Mer information finns i Diagnostikloggar för Application Gateway.
Blockerar detekteringsläget trafik?
Nej. Identifieringsläget loggar endast trafik som utlöser en WAF-regel.
Kan jag anpassa WAF-regler?
Ja. Mer information finns i Anpassa WAF-regler.
Vilka regler är för närvarande tillgängliga för WAF?
WAF stöder för närvarande standardregeluppsättning (DRS) 2.1, Core Rule Set (CRS) 3.2 och 3.1. Dessa regler ger grundläggande säkerhet mot de flesta av de 10 främsta säkerhetsriskerna som OWASP (Open Web Application Security Project) identifierar:
- Skydd mot SQL-inmatning
- Skydd mot skript mellan webbplatser
- Skydd mot vanliga webbattacker som kommandoinmatning, HTTP-begärandesmuggling, DELNING av HTTP-svar och fjärrfilinkludering
- Skydd mot åtgärder som inte följer HTTP-protokollet
- Skydd mot HTTP-protokollavvikelser, till exempel saknade
Host,User-AgentochAcceptrubriker - Skydd mot robotar, crawlers och skannrar
- Identifiering av vanliga programfelkonfigurationer (till exempel Apache och IIS)
Mer information finns i OWASP:s 10 främsta säkerhetsrisker.
CRS 2.2.9 och 3.0 stöds inte längre för nya WAF-principer. Vi rekommenderar att du uppgraderar till den senaste DRS-versionen. Du kan inte använda CRS 2.2.9 tillsammans med CRS 3.2/DRS 2.1 och senare versioner.
Vilka innehållstyper stöder WAF?
Application Gateway WAF stöder följande innehållstyper för hanterade regler:
application/jsonapplication/xmlapplication/x-www-form-urlencodedmultipart/form-data
Och för anpassade regler:
application/x-www-form-urlencoded-
application/soap+xml,application/xmltext/xml application/jsonmultipart/form-data
Stöder WAF DDoS-skydd?
Ja. Du kan aktivera DDoS-skydd (Distributed Denial-of-Service) i det virtuella nätverk där programgatewayen distribueras. Den här inställningen säkerställer att Azure DDoS Protection-tjänsten även hjälper till att skydda programgatewayens virtuella IP (VIP).
Lagrar WAF kunddata?
Nej, WAF lagrar inte kunddata.
Hur fungerar WAF med WebSocket?
Azure Application Gateway har inbyggt stöd för WebSocket. WebSocket på Application Gateway WAF kräver ingen extra konfiguration för att fungera. WAF inspekterar dock inte WebSocket-trafiken. Efter den första handskakningen mellan klient och server kan datautbytet mellan klienten och servern vara av valfritt format (till exempel binärt eller krypterat). Så WAF kan inte alltid parsa data. Det fungerar bara som en vidarebefordringsproxy för data.
Mer information finns i Översikt över WebSocket-stöd i Application Gateway.
Stöder WAF luftgapade moln?
Ja, luftgapade moln stöds. Dock stöds anpassade regler för geofiltrering, regler för bottsskydd och anpassade regler för hastighetsbegränsning inte på isolerade luftgapade moln.