Q: 如何监视 WAF？

通过诊断日志记录监视 WAF。 有关详细信息，请参阅 应用程序网关的诊断日志 。

Q: 检测模式是否会阻止流量？

否。 检测模式仅记录触发了 WAF 规则的流量。

Q: 我可以自定义 WAF 规则吗？

是的。 有关详细信息，请参阅 自定义 WAF 规则 。

Q: WAF 当前有哪些规则可用？

WAF 目前支持默认规则集 （DRS） 2.1 、核心规则集 （CRS） 3.2 和 3.1 。 这些规则针对开放 Web 应用程序安全项目 (OWASP) 确定的前 10 个漏洞中的大多数提供了基线安全性： 防范 SQL 注入 跨站脚本攻击防护 防范常见 Web 攻击，例如命令注入、HTTP 请求走私、HTTP 响应拆分和远程文件包含 防止 HTTP 协议违反行为 防范 HTTP 协议异常，例如缺失 Host 、 User-Agent 和 Accept 标头 防止自动程序、爬网程序和扫描程序 检测常见的应用程序配置错误（例如 Apache 和 IIS） 有关详细信息，请参阅 OWASP 前 10 个漏洞 。 新的 WAF 策略不再支持 CRS 2.2.9 和 3.0。 建议 升级到最新的 DRS 版本 。 不能将 CRS 2.2.9 与 CRS 3.2/DRS 2.1 及更高版本一起使用。

Q: WAF 支持哪些内容类型？

应用程序网关 WAF 支持托管规则的以下内容类型： application/json application/xml application/x-www-form-urlencoded multipart/form-data 对于自定义规则： application/x-www-form-urlencoded application/soap+xml 、 application/xml 、 text/xml application/json multipart/form-data

Q: WAF 是否支持 DDoS 保护？

是的。 可以在部署应用程序网关的虚拟网络上启用分布式拒绝服务（DDoS）保护。 此设置可确保 Azure DDoS 防护服务还有助于保护应用程序网关的虚拟 IP（VIP）。

Q: WAF 是否存储客户数据？

否，WAF 不会存储客户数据。

Q: WAF 如何与 WebSocket 一起工作？

Azure 应用程序网关本机支持 WebSocket。 应用程序网关 WAF 上的 WebSocket 不需要任何额外的配置才能正常工作。 但是，WAF 不会检查 WebSocket 流量。 在客户端和服务器之间初始握手后，客户端和服务器之间的数据交换可以采用任何格式（例如二进制或加密）。 因此 WAF 不能总是解析数据。 它只是充当数据的直通代理。 有关详细信息，请参阅 应用程序网关中的 WebSocket 支持概述 。

Question 1

什么是 Azure Web 应用程序防火墙？

Accepted Answer

Azure Web 应用程序防火墙是一种 Web 应用程序防火墙（WAF），可帮助保护 Web 应用程序免受 SQL 注入、跨站点脚本和其他 Web 攻击等常见威胁。可以定义由自定义规则和托管规则的组合组成的 WAF 策略，以控制对 Web 应用程序的访问。

可以将 WAF 策略应用于 Azure 应用程序网关或 Azure Front Door 上托管的 Web 应用程序。

Question 2

WAF 产品层支持哪些功能？

Accepted Answer

应用程序网关的 WAF 层支持标准层中提供的所有功能。

Question 3

如何监视 WAF？

Accepted Answer

通过诊断日志记录监视 WAF。有关详细信息，请参阅应用程序网关的诊断日志。

Question 4

检测模式是否会阻止流量？

Accepted Answer

否。检测模式仅记录触发了 WAF 规则的流量。

Question 5

我可以自定义 WAF 规则吗？

Accepted Answer

是的。有关详细信息，请参阅自定义 WAF 规则。

Question 6

WAF 当前有哪些规则可用？

Accepted Answer

WAF 目前支持默认规则集（DRS） 2.1、核心规则集（CRS） 3.2 和 3.1。这些规则针对开放 Web 应用程序安全项目 (OWASP) 确定的前 10 个漏洞中的大多数提供了基线安全性：

防范 SQL 注入
跨站脚本攻击防护
防范常见 Web 攻击，例如命令注入、HTTP 请求走私、HTTP 响应拆分和远程文件包含
防止 HTTP 协议违反行为
防范 HTTP 协议异常，例如缺失 Host、User-Agent 和 Accept 标头
防止自动程序、爬网程序和扫描程序
检测常见的应用程序配置错误（例如 Apache 和 IIS）

有关详细信息，请参阅 OWASP 前 10 个漏洞。

新的 WAF 策略不再支持 CRS 2.2.9 和 3.0。建议升级到最新的 DRS 版本。不能将 CRS 2.2.9 与 CRS 3.2/DRS 2.1 及更高版本一起使用。

Question 7

WAF 支持哪些内容类型？

Accepted Answer

应用程序网关 WAF 支持托管规则的以下内容类型：

application/json
application/xml
application/x-www-form-urlencoded
multipart/form-data

对于自定义规则：

application/x-www-form-urlencoded
application/soap+xml、application/xml、text/xml
application/json
multipart/form-data

Question 8

WAF 是否支持 DDoS 保护？

Accepted Answer

是的。可以在部署应用程序网关的虚拟网络上启用分布式拒绝服务（DDoS）保护。此设置可确保 Azure DDoS 防护服务还有助于保护应用程序网关的虚拟 IP（VIP）。

Question 9

WAF 是否存储客户数据？

Accepted Answer

否，WAF 不会存储客户数据。

Question 10

WAF 如何与 WebSocket 一起工作？

Accepted Answer

Azure 应用程序网关本机支持 WebSocket。应用程序网关 WAF 上的 WebSocket 不需要任何额外的配置才能正常工作。但是，WAF 不会检查 WebSocket 流量。在客户端和服务器之间初始握手后，客户端和服务器之间的数据交换可以采用任何格式（例如二进制或加密）。因此 WAF 不能总是解析数据。它只是充当数据的直通代理。

有关详细信息，请参阅应用程序网关中的 WebSocket 支持概述。

Question 11

WAF 是否支持空隙云？

Accepted Answer

是的，支持实体隔离。但是，实体隔离云不支持地理位置筛选自定义规则、机器人防护规则集和速率限制的自定义规则。

通过

应用程序网关上的 Azure Web 应用程序防火墙的常见问题解答