Forum aux questions concernant le pare-feu d’applications web Azure sur Application Gateway

Azure WAF est un pare-feu d’applications web qui aide à protéger vos applications web des menaces courantes telles que les injections de code SQL, le script de site à site et autres codes malveillants exploitant des failles de sécurité. Vous pouvez définir une stratégie de pare-feu d’applications web consistant en une combinaison de règles personnalisées et gérées pour contrôler l’accès à vos applications web.

Une stratégie Azure WAF peut être appliquée aux applications web hébergées sur Application Gateway ou Azure Front Door.

La référence (SKU) WAF prend-elle en charge toutes les fonctionnalités disponibles dans la référence (SKU) Standard ?

Surveillez le pare-feu d'applications web via la journalisation des diagnostics. Pour plus d'informations, consultez Journalisation des diagnostics et métriques pour Application Gateway.

Non. Le mode de détection journalise uniquement le trafic qui déclenche une règle de pare-feu d’applications web.

Oui. Pour plus d’informations, consultez Personnaliser les règles et groupes de règles WAF.

WAF prend actuellement en charge CRS 3.2, 3.1 et 3.0. Ces règles constituent un rempart contre la plupart des 10 principales vulnérabilités identifiées par l’OWASP (Open Web Application Security Project) :

• Protection contre les injections de code SQL
• Protection contre les scripts intersites
• Protection contre les attaques web courantes comme l’injection de commande, les dissimulations de requêtes HTTP, la séparation de réponse HTTP et les attaques RFI (Remote File Inclusion)
• Protection contre les violations de protocole HTTP
• Protection contre les anomalies de protocole HTTP comme un agent-utilisateur hôte manquant et les en-têtes Accept
• Protection contre les robots, les crawlers et les scanneurs
• Détection des erreurs de configuration d’application courantes (par exemple, Apache, IIS, etc.)

Pour plus d’informations, consultez Les 10 principales vulnérabilités identifiées par l’OWASP.

CRS 2.2.9 n’est plus pris en charge pour les nouvelles stratégies WAF. Nous vous recommandons d’effectuer une mise à niveau vers la dernière version de CRS. CRS 2.2.9 ne peut pas être utilisé avec CRS 3.2/DRS 2.1 et les versions ultérieures.

Le WAF d’Application Gateway prend en charge les types de contenu suivants pour les règles gérées :

• application/json
• application/xml
• application/x-www-form-urlencoded
• multipart/form-data

Pour les règles personnalisées :

• application/x-www-form-urlencoded
• application/soap+xml, application/xml, text/xml
• application/json
• multipart/form-data

Oui. Vous pouvez activer le service de protection DDoS sur le réseau virtuel sur lequel la passerelle d’application est déployée. Ainsi, le service Azure DDoS Protection protège aussi l’adresse IP virtuelle de la passerelle d’application.

Le pare-feu d'applications web stocke-t-il les données client ?

Non, WAF ne stocke pas les données client.

Azure Application Gateway prend en charge WebSocket en mode natif. WebSocket sur Azure WAF sur Azure Application Gateway ne nécessite aucune configuration supplémentaire pour fonctionner. Toutefois, WAF n’inspecte pas le trafic WebSocket. Après l’établissement d'une liaison initiale entre le client et le serveur, l’échange de données entre le client et le serveur peut être de n’importe quel format, par exemple binaire ou chiffré. Par conséquent, Azure WAF ne peut pas toujours analyser les données, il agit simplement comme un proxy Pass-through pour les données.

Pour plus d’informations, consultez Vue d’ensemble de la prise en charge de WebSocket dans Application Gateway.

Étapes suivantes

• En savoir plus sur le pare-feu d’application web Azure.
• En savoir plus sur Azure Front Door.