Поделиться через

Часто задаваемые вопросы о Брандмауэре веб-приложений Azure в Шлюзе приложений

В этой статье содержатся ответы на распространенные вопросы о функциях и возможностях Брандмауэра веб-приложения Azure (WAF) в Шлюзе приложений.

Что такое Azure WAF?

Azure WAF — это брандмауэр веб-приложения, который помогает защитить веб-приложения от распространенных угроз, таких как внедрение кода SQL, межсайтовые сценарии и другие веб-атаки. Вы можете определить политику WAF, состоящую из сочетания настраиваемых и управляемых правил для управления доступом к веб-приложениям.

Политику Azure WAF можно применять к веб-приложениям, размещенным в Шлюзе приложений или Azure Front Door.

Какие функции поддерживает номер SKU WAF?

Номер SKU WAF поддерживает все функции, доступные в номере SKU "Стандартный".

Как отслеживать WAF?

Мониторинг WAF с помощью диагностического журнала. Дополнительные сведения см. в статье Ведение журнала диагностики и метрики для Шлюза приложений.

Блокирует ли режим обнаружения трафик?

Нет. В режиме обнаружения регистрируется только тот трафик, который активирует правило WAF.

Могу ли я настроить правила WAF?

Да. Дополнительные сведения см. в статье Настройка групп правил и правил WAF.

Какие правила в настоящее время доступны для WAF?

В настоящее время WAF поддерживает CRS 3.2, 3.1 и 3.0. Эти правила обеспечивают базовую защиту от большинства из 10 основных уязвимостей, выявленных Open Web Application Security Project (OWASP):

  • Защита от SQL-инъекций.
  • Защита от межсайтовых сценариев
  • Защита от распространенных веб-атак, таких как внедрение команд, контрабанда HTTP-запросов, разделение HTTP-ответов и атаки на удаленное включение файлов
  • Защита от нарушений протокола HTTP.
  • Защита от аномалий протокола HTTP, например отсутствия агента пользователя узла и заголовков accept.
  • Защита от программ-роботов, программ-обходчиков и сканеров.
  • Обнаружение распространенных неправильных конфигураций приложений (например, Apache, IIS и т. д.)

Дополнительные сведения см. в разделе Топ-10 уязвимостей OWASP.

CRS 2.2.9 больше не поддерживается для новых политик WAF. Мы рекомендуем вам обновиться до последней версии CRS. CRS 2.2.9 нельзя использовать вместе с CRS 3.2/DRS 2.1 и более поздними версиями.

Какие типы содержимого поддерживает WAF?

WAF Шлюза приложений поддерживает следующие типы содержимого для управляемых правил:

  • application/json
  • Приложение/XML
  • application/x-www-form-urlencoded
  • multipart/form-data

А для пользовательских правил:

  • application/x-www-form-urlencoded
  • приложение/soap+xml, приложение/xml, текст/xml
  • application/json
  • multipart/form-data

Поддерживает ли WAF защиту от DDoS-атак?

Да. Вы можете включить защиту от атак DDoS в виртуальной сети, в которой развернут шлюз приложений. Этот параметр гарантирует, что служба защиты от атак DDoS Azure также защищает виртуальный IP-адрес (VIP) шлюза приложений.

Хранит ли WAF данные клиентов?

Нет, WAF не хранит данные клиентов.

Как Azure WAF работает с WebSockets?

Шлюз приложений Azure изначально поддерживает WebSocket. WebSocket в Azure WAF в Azure Application Gateway не требует дополнительной настройки для работы. Однако WAF не проверяет трафик WebSocket. После первоначального рукопожатия между клиентом и сервером обмен данными между клиентом и сервером может быть любого формата, например, двоичного или зашифрованного. Таким образом, Azure WAF не всегда может анализировать данные, он просто действует как сквозной прокси для данных.

Дополнительные сведения см. в разделе Обзор поддержки WebSocket в Шлюзе приложений.

Дальнейшие шаги