Modul WAF ve službě Azure Application Gateway
Modul firewallu webových aplikací Azure (WAF) je komponenta, která kontroluje provoz a určuje, jestli požadavek obsahuje podpis, který představuje potenciální útok, a v závislosti na konfiguraci provede odpovídající akci.
Nová generace modulu WAF
Nový modul WAF je vysoce výkonný, škálovatelný proprietární modul Microsoftu a má významná vylepšení oproti předchozímu modulu WAF.
Nový motor vydaný s CRS 3.2 poskytuje následující výhody:
- Vylepšený výkon: Významná vylepšení latence WAF, včetně latencí P99 POST a GET. Zaznamenali jsme významné snížení chvostů P99 s přibližně 8x snížením zpracování požadavků POST a přibližně 4x snížením zpracování požadavků GET.
- Zvýšené škálování: Vyšší požadavky za sekundu (RPS) využívající stejný výpočetní výkon a schopnost zpracovávat větší velikosti požadavků. Náš modul nové generace může vertikálně navýšit kapacitu až osmkrát více RPS pomocí stejného výpočetního výkonu a má možnost zpracovat 16krát větší velikosti požadavků (až 2 MB velikosti požadavků), což u předchozího modulu nebylo možné.
- Lepší ochrana: Nový přepracovaný modul s efektivním zpracováním regulárních výrazů nabízí lepší ochranu před útoky DOS (RegEx Denial of Service) při zachování konzistentního prostředí latence.
- Bohatší sada funkcí: Nové funkce a budoucí vylepšení jsou k dispozici pouze prostřednictvím nového modulu.
Podpora nových funkcí
Existuje mnoho nových funkcí, které jsou podporovány pouze v modulu Azure WAF. Toto jsou některé z dostupných funkcí:
- CRS 3.2
- Zvýšení limitu velikosti textu požadavku na 2 MB
- Zvýšení limitu nahrávání souborů na 4 GB
- Metriky WAF v2
- Vyloučení podle pravidel a podpora atributů vyloučení podle názvu
- Zvýšené limity škálování
- Omezení naslouchacích procesů HTTP
- Rozsahy IP adres WAF podle podmínky shody
- Omezení vyloučení
- Vlastní pravidla omezení rychlosti
- Kontrolní limit a vynucování maximální velikosti je možné zapnout nebo vypnout nezávisle na sobě a hodnoty pro každé pole lze nastavit nezávisle na sobě.
Nové funkce WAF jsou vydávány pouze s novějšími verzemi CRS na novém modulu WAF.
Protokolování požadavků pro vlastní pravidla
Rozdíl mezi tím, jak předchozí modul a nové požadavky na protokol modulu WAF existují, když vlastní pravidlo definuje typ akce jako protokol.
Když se waF spustí v režimu prevence, předchozí modul protokoluje typ akce požadavku jako Blokovaný , i když je požadavek povolený vlastním pravidlem. V režimu detekce předchozí modul protokoluje stejný typ akce požadavku jako Zjištěno.
Nový modul WAF naproti tomu protokoluje typ akce požadavku jako protokol, ať už je WAF spuštěný v režimu prevence nebo detekce.
Další kroky
Přečtěte si další informace o spravovaných pravidlech WAF.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro