En este artículo se responden preguntas comunes sobre Azure Web Application Firewall (WAF) en las características y funcionalidades de Application Gateway.
¿Qué es WAF de Azure?
Azure WAF es un Firewall de aplicaciones web que ayuda a proteger sus aplicaciones web frente a amenazas comunes como inyección de código SQL, el scripting entre sitios y otras vulnerabilidades de seguridad de la web. Puede definir una directiva de WAF, que consta de una combinación de reglas personalizadas y administradas para controlar el acceso a sus aplicaciones web.
Una directiva de Azure WAF se puede aplicar a las aplicaciones web hospedadas en Application Gateway o Azure Front Door.
¿Qué características admite la SKU de WAF?
La SKU de WAF es compatible con todas las funciones disponibles en la SKU estándar.
¿Cómo superviso el WAF?
Supervise WAF a través del registro de diagnóstico. Para obtener más información, consulte Registro de diagnóstico y métricas para Application Gateway.
¿El modo de detección bloquea el tráfico?
No. El modo de detección solo registra el tráfico que desencadena una regla de WAF.
¿Puedo personalizar las reglas de WAF?
Sí. Para obtener más información, consulte Personalización de reglas y grupos de reglas de WAF.
¿Qué reglas están disponibles actualmente para WAF?
Actualmente, WAF es compatible con CRS 3.2, 3.1 y 3.0. Estas reglas proporcionan seguridad de referencia contra la mayoría de las 10 vulnerabilidades principales que identifica Open Web Application Security Project (OWASP):
- Protección contra la inyección de código SQL
- Protección de secuencias de comandos entre sitios
- Protección contra ataques web comunes, como inyección de comandos, contrabando de solicitudes HTTP, división de respuestas HTTP y ataques de inclusión remota de archivos
- Protección contra infracciones del protocolo HTTP
- Protección contra anomalías del protocolo HTTP, como la falta de agentes de usuario de host y encabezados de aceptación
- Prevención contra bots, rastreadores y escáneres
- Detección de errores de configuración de aplicaciones comunes (es decir, Apache, IIS, etc.)
Para obtener más información, consulte las 10 principales vulnerabilidades de OWASP.
CRS 2.2.9 no se admite para las nuevas directivas de WAF. Le recomendamos que actualice a la última versión de CRS. CRS 2.2.9 no se puede utilizar junto con CRS 3.2/DRS 2.1 y versiones posteriores.
¿Qué tipos de contenido admite WAF?
WAF de Application Gateway admite los siguientes tipos de contenido para las reglas administradas:
- application/json
- aplicación/xml
- application/x-www-form-urlencoded
- multiparte/datos-de-formulario
Y para las reglas personalizadas:
- application/x-www-form-urlencoded
- Aplicación/SOAP+XML, Aplicación/XML, Texto/XML
- application/json
- multiparte/datos-de-formulario
¿WAF es compatible con la protección DDoS?
Sí. Puede habilitar la protección contra DDoS en la red virtual en la que se implementa la puerta de enlace de aplicaciones. Esta configuración garantiza que el servicio Azure DDoS Protection también proteja la dirección IP virtual (VIP) de Application Gateway.
¿WAF almacena los datos de los clientes?
No, WAF no almacena los datos de los clientes.
¿Cómo funciona el WAF de Azure con WebSockets?
Azure Application Gateway admite WebSocket de forma nativa. WebSocket en Azure WAF en Azure Application Gateway no requiere ninguna configuración adicional para funcionar. Sin embargo, WAF no inspecciona el tráfico de WebSocket. Después del protocolo de enlace inicial entre el cliente y el servidor, el intercambio de datos entre el cliente y el servidor puede ser de cualquier formato, por ejemplo, binario o cifrado. Por lo tanto, Azure WAF no siempre puede analizar los datos, simplemente actúa como un proxy de paso a través de los datos.
Para obtener más información, consulta Introducción a la compatibilidad de WebSocket en Application Gateway.
Pasos siguientes
- Más información sobre Firewall de aplicaciones web de Azure.
- Obtenga más información acerca de Azure Front Door.