Modul WAF ve službě Azure Application Gateway

Modul firewallu webových aplikací Azure (WAF) je komponenta, která kontroluje provoz a určuje, jestli požadavek obsahuje podpis, který představuje potenciální útok, a v závislosti na konfiguraci provede odpovídající akci.

Nová generace modulu WAF

Nový modul WAF je vysoce výkonný, škálovatelný proprietární modul Microsoftu a má významná vylepšení oproti předchozímu modulu WAF.

Nový motor vydaný s CRS 3.2 poskytuje následující výhody:

• Vylepšený výkon: Významná vylepšení latence WAF, včetně latencí P99 POST a GET. Zaznamenali jsme významné snížení chvostů P99 s přibližně 8x snížením zpracování požadavků POST a přibližně 4x snížením zpracování požadavků GET.
• Zvýšené škálování: Vyšší požadavky za sekundu (RPS) využívající stejný výpočetní výkon a schopnost zpracovávat větší velikosti požadavků. Náš modul nové generace může vertikálně navýšit kapacitu až osmkrát více RPS pomocí stejného výpočetního výkonu a má možnost zpracovat 16krát větší velikosti požadavků (až 2 MB velikosti požadavků), což u předchozího modulu nebylo možné.
• Lepší ochrana: Nový přepracovaný modul s efektivním zpracováním regulárních výrazů nabízí lepší ochranu před útoky DOS (RegEx Denial of Service) při zachování konzistentního prostředí latence.
• Bohatší sada funkcí: Nové funkce a budoucí vylepšení jsou k dispozici pouze prostřednictvím nového modulu.

Podpora nových funkcí

Existuje mnoho nových funkcí, které jsou podporovány pouze v modulu Azure WAF. Toto jsou některé z dostupných funkcí:

• CRS 3.2
  • Zvýšení limitu velikosti textu požadavku na 2 MB
  • Zvýšení limitu nahrávání souborů na 4 GB
• Metriky WAF v2
• Vyloučení podle pravidel a podpora atributů vyloučení podle názvu
• Zvýšené limity škálování
  • Omezení naslouchacích procesů HTTP
  • Rozsahy IP adres WAF podle podmínky shody
  • Omezení vyloučení
• Vlastní pravidla omezení rychlosti
• Kontrolní limit a vynucování maximální velikosti je možné zapnout nebo vypnout nezávisle na sobě a hodnoty pro každé pole lze nastavit nezávisle na sobě.

Nové funkce WAF jsou vydávány pouze s novějšími verzemi CRS na novém modulu WAF.

Protokolování požadavků pro vlastní pravidla

Rozdíl mezi tím, jak předchozí modul a nové požadavky na protokol modulu WAF existují, když vlastní pravidlo definuje typ akce jako protokol.

Když se waF spustí v režimu prevence, předchozí modul protokoluje typ akce požadavku jako Blokovaný , i když je požadavek povolený vlastním pravidlem. V režimu detekce předchozí modul protokoluje stejný typ akce požadavku jako Zjištěno.

Nový modul WAF naproti tomu protokoluje typ akce požadavku jako protokol, ať už je WAF spuštěný v režimu prevence nebo detekce.

Další kroky

Přečtěte si další informace o spravovaných pravidlech WAF.