En este artículo, se responden preguntas comunes sobre la funcionalidad y las características de Azure Web Application Firewal (WAF) en Application Gateway.
¿Qué es WAF de Azure?
Azure WAF es un Firewall de aplicaciones web que ayuda a proteger sus aplicaciones web frente a amenazas comunes como inyección de código SQL, el scripting entre sitios y otras vulnerabilidades de seguridad de la web. Puede definir una directiva de WAF, que consta de una combinación de reglas personalizadas y administradas para controlar el acceso a sus aplicaciones web.
Se puede aplicar una directiva Azure WAF a las aplicaciones web alojadas en Application Gateway o Azure Front Door.
¿Qué características admite la SKU de WAF?
La SKU de WAF admite todas las características disponibles en la SKU Estándar.
¿Cómo se supervisa el WAF?
Supervise WAF a través del registro de diagnóstico. Para más información, consulte Diagnostic logging and metrics for Application Gateway (Registro de diagnóstico y métricas de Application Gateway).
¿Bloquea el modo de detección el tráfico?
No. El modo de detección solo registra el tráfico que desencadena una regla de WAF.
¿Se pueden personalizan las reglas de WAF?
Sí. Para más información, consulte Personalización de reglas de firewall de aplicaciones web mediante Azure Portal.
¿Qué reglas están disponibles actualmente para WAF?
Actualmente, WAF admite CRS 3.2, 3.1 y 3.0. Estas reglas proporcionan seguridad de línea base frente a la diez vulnerabilidades principales que Open Web Application Security Project (OWASP) identifica:
- Protección contra la inyección de código SQL
- Protección contra ataques de scripts de sitios
- Protección contra ataques web comunes, como la inyección de comandos, el contrabando de solicitudes HTTP, la división de respuestas HTTP y el ataque remoto de inclusión de archivos.
- Protección contra infracciones del protocolo HTTP
- Protección contra anomalías del protocolo HTTP, como la falta de agentes de usuario de host y encabezados de aceptación
- Prevención contra bots, rastreadores y escáneres
- Detección de errores de configuración comunes en aplicaciones (es decir, Apache, IIS, etc.).
Para más información, consulte las Diez vulnerabilidades principales de OWASP.
CRS 2.2.9 no se admite para las nuevas directivas de WAF. Se recomienda realizar la actualización a la versión de CRS más reciente. CRS 2.2.9 no se puede usar junto con CRS 3.2/DRS 2.1 y versiones posteriores.
¿Qué tipos de contenido admite WAF?
El firewall de aplicaciones web de Application Gateway admite los siguientes tipos de contenido para las reglas administradas:
- application/json
- aplicación/xml
- application/x-www-form-urlencoded
- multipart/form-data
Y para las reglas personalizadas:
- application/x-www-form-urlencoded
- application/soap+xml, application/xml, text/xml
- application/json
- multipart/form-data
¿Admite WAF la protección contra DDoS?
Sí. Puede habilitar la protección contra DDos en la red virtual donde se implementa Application Gateway. Esta configuración garantiza que el servicio Azure DDoS Protection también protege la IP virtual (VIP) de Application Gateway.
¿WAF almacena datos de los clientes?
No, WAF no almacena datos de clientes.
¿Cómo funciona el WAF de Azure con WebSockets?
Azure Application Gateway admite de forma nativa WebSocket. WebSocket en Azure WAF en Azure Application Gateway no requiere ninguna configuración adicional para funcionar. Sin embargo, WAF no inspecciona el tráfico WebSocket. Después del protocolo de enlace inicial entre el cliente y el servidor, el intercambio de datos entre el cliente y el servidor puede ser de cualquier formato, por ejemplo binario o cifrado. Por lo tanto, el WAF de Azure no siempre puede analizar los datos, simplemente actúa como un proxy de tránsito para los datos.
Para obtener más información, consulte Introducción a la compatibilidad de WebSocket en Application Gateway.
Pasos siguientes
- Más información sobre Firewall de aplicaciones web de Azure.
- Obtenga más información acerca de Azure Front Door.