WAF-Modul für Azure Application Gateway

Das Azure Web Application Firewall (WAF)-Modul ist die Komponente, die Datenverkehr überprüft und bestimmt, ob eine Anforderung eine Signatur enthält, die einen potenziellen Angriff darstellt, und führt je nach Konfiguration entsprechende Aktionen aus.

Nächste Generation des WAF-Moduls

Das neue WAF-Modul ist ein leistungsstarkes, skalierbares Microsoft-proprietäres Modul und verfügt über erhebliche Verbesserungen gegenüber dem vorherigen WAF-Modul.

Das neue Modul, das mit CRS 3.2 veröffentlicht wurde, bietet die folgenden Vorteile:

• Verbesserte Leistung: Erhebliche Verbesserungen bei der WAF-Latenz, einschließlich der P99 POST- und GET-Latenzen. Wir haben eine erhebliche Verringerung der P99 Tail-Latenzen mit bis zu ungefähr 8-facher Reduzierung der Verarbeitung von POST-Anforderungen und ungefähr 4-facher Reduzierung der Verarbeitung von GET-Anforderungen beobachtet.
• Erhöhte Skalierung: Höhere Anforderungen pro Sekunde (RPS), mit derselben Berechnungsleistung und mit der Möglichkeit, größere Anforderungsgrößen zu verarbeiten. Unsere Engine der nächsten Generation kann bei gleicher Rechenleistung bis zu achtmal mehr RPS skalieren und ist in der Lage, 16-mal größere Anfragen zu verarbeiten (bis zu 2 MB), was mit der vorherigen Engine nicht möglich war.
• Besserer Schutz: Das neue neu gestaltete Modul mit effizienter RegEx-Verarbeitung bietet einen besseren Schutz vor RegEx Denial of Service (DOS)-Angriffen während eine konsistenten Latenzerfahrung erhalten wird.
• Reichhaltigerer Featuresatz: Neue Features und zukünftige Verbesserungen stehen nur mit dem neuen Modul zur Verfügung.

Unterstützung für neue Features

Es gibt viele neue Features, die nur im Azure WAF-Modul unterstützt werden. Sie enthält folgende Features:

• CRS 3.2
  • Erhöhte Anforderungstextgröße auf 2 MB
  • Erhöhte Dateiuploadgrenze auf 4 GB
• WAF v2-Metriken
• Ausschlüsse per Regel und Unterstützung für Ausschlussattribute nach Name.
• Erweiterte Skalierungsgrenzwerte
  • Grenzwert für HTTP-Listener
  • WAF-IP-Adressbereiche pro Übereinstimmungsbedingung
  • Grenzwert für Ausschlüsse
• Benutzerdefinierte Regeln für Ratenbegrenzung
• Inspektionsgrenzwert und max. Größenerzwingung können unabhängig voneinander aktiviert und deaktiviert werden und die Werte für jedes Feld können unabhängig voneinander festgelegt werden.

Neue WAF-Features werden nur mit späteren Versionen von CRS auf dem neuen WAF-Modul veröffentlicht.

Anforderungsprotokollierung für benutzerdefinierte Regeln

Es gibt einen Unterschied zwischen der Anforderungsprotokollierung auf dem vorherigen Modul und dem neuen WAF-Modul, wenn eine benutzerdefinierte Regel den Aktionstyp als Protokoll definiert.

Wenn Ihr WAF im Schutzmodus ausgeführt wird, protokolliert das vorherige Modul den Aktionstyp der Anforderung als Blockiert, obwohl die Anforderung durch die benutzerdefinierte Regel zulässig ist. Im Erkennungsmodus protokolliert das vorherige Modul den Aktionstyp der gleichen Anforderung als Erkannt.

Im Gegensatz dazu protokolliert das neue WAF-Modul den Anforderungsaktionstyp als Protokoll, egal ob die WAF im Schutz- oder Erkennungsmodus ausgeführt wird.

Nächste Schritte

Erfahren Sie mehr zu Regeln der WAF.