Bearbeiten

Häufig gestellte Fragen zu Azure Web Application Firewall in Application Gateway

  • Häufig gestellte Fragen

In diesem Artikel werden gängige Fragen zu den Features und Funktionen von Azure Web Application Firewall (WAF) in Application Gateway beantwortet.

Was ist Azure WAF?

Azure WAF ist eine Web Application Firewall, die dazu beiträgt, Ihre Webanwendungen vor allgemeinen Bedrohungen wie Einschleusung von SQL-Befehlen, Cross-Site Scripting und anderen Web-Exploits zu schützen. Sie können eine WAF-Richtlinie mit einer Kombination aus benutzerdefinierten und verwalteten Regeln definieren, um den Zugriff auf Ihre Webanwendungen zu steuern.

Eine Azure WAF-Richtlinie kann auf Webanwendungen angewendet werden, die in Application Gateway oder Azure Front Door gehostet werden.

Welche Features unterstützt die WAF-SKU?

Die WAF-SKU unterstützt alle Features, die in der Standard-SKU verfügbar sind.

Wie überwache ich WAF?

Überwachen Sie WAF über die Diagnoseprotokollierung. Weitere Informationen finden Sie unter Back-End-Integrität, Diagnoseprotokollierung und Metriken für Application Gateway.

Wird Datenverkehr durch den Erkennungsmodus blockiert?

Nein. Der Erkennungsmodus protokolliert nur Datenverkehr, der eine WAF-Regel auslöst.

Kann ich WAF-Regeln anpassen?

Ja. Weitere Informationen finden Sie unter Anpassen von Web Application Firewall-Regeln mit dem Azure-Portal.

Welche Regeln sind derzeit für WAF verfügbar?

WAF unterstützt derzeit CRS 3.2, 3.1 und 3.0. Diese Regeln bieten grundlegende Sicherheit für die meisten der zehn wichtigsten, von Open Web Application Security Project (OWASP) identifizierten Sicherheitsrisiken:

  • Schutz vor Einschleusung von SQL-Befehlen
  • Schutz vor websiteübergreifendem Skripting
  • Schutz vor allgemeinen Webangriffen wie Befehlseinschleusung, HTTP Request Smuggling, HTTP Response Splitting und Remote File Inclusion.
  • Schutz vor Verletzungen des HTTP-Protokolls
  • Schutz vor HTTP-Protokollanomalien, z.B. fehlende user-agent- und accept-Header des Hosts
  • Verhindern von Bots, Crawlern und Scannern
  • Erkennung allgemeiner Fehler bei der Anwendungskonfiguration (in Bezug auf Apache, IIS usw.)

Weitere Informationen finden Sie im Artikel zu den zehn wichtigsten, von OWASP identifizierten Sicherheitsrisiken.

CRS 2.2.9 wird für neue WAF-Richtlinien nicht mehr unterstützt. Wir empfehlen, ein Upgrade auf die aktuelle Version auszuführen. CRS 2.2.9 kann nicht zusammen mit CRS 3.2/DRS 2.1 und höher verwendet werden.

Welche Inhaltstypen werden von WAF unterstützt?

WAF für Application Gateway unterstützt die folgenden Inhaltstypen für verwaltete Regeln:

  • Anwendung/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

Für benutzerdefinierte Regeln:

  • application/x-www-form-urlencoded
  • application/soap+xml, application/xml, text/xml
  • Anwendung/json
  • multipart/form-data

Unterstützt WAF DDoS-Schutz?

Ja. Sie können DDoS-Schutz im virtuellen Netzwerk aktivieren, in dem das Anwendungsgateway bereitgestellt wird. Mit dieser Einstellung wird sichergestellt, dass der Azure DDoS Protection-Dienst auch die VIP-Adresse des Anwendungsgateways schützt.

Speichert WAF Kundendaten?

Nein, WAF speichert keine Kundendaten.

Wie funktioniert Azure WAF mit WebSockets?

Azure Application Gateway bietet systemeigene Unterstützung von WebSocket. WebSocket auf Azure WAF in Azure Application Gateway erfordert keine zusätzliche Konfiguration für den Betrieb. WAF überprüft jedoch nicht den WebSocket-Datenverkehr. Nach dem anfänglichen Handshake zwischen Client und Server kann der Datenaustausch zwischen Client und Server ein beliebiges Format haben, z. B. binär oder verschlüsselt. Azure WAF kann die Daten also nicht immer analysieren, sondern fungiert lediglich als Passthrough-Proxy für die Daten.

Weitere Informationen finden Sie unter Übersicht über die WebSocket-Unterstützung in Application Gateway.

Nächste Schritte