Édition

Share via


Forum aux questions concernant le pare-feu d’applications web Azure sur Application Gateway

Cet article répond à des questions courantes concernant les fonctions et fonctionnalités du pare-feu d’applications web (WAF) sur Application Gateway.

Qu’est-ce qu’Azure WAF ?

Azure WAF est un pare-feu d’applications web qui aide à protéger vos applications web des menaces courantes telles que les injections de code SQL, le script de site à site et autres codes malveillants exploitant des failles de sécurité. Vous pouvez définir une stratégie de pare-feu d’applications web consistant en une combinaison de règles personnalisées et gérées pour contrôler l’accès à vos applications web.

Une stratégie Azure WAF peut être appliquée aux applications web hébergées sur Application Gateway ou Azure Front Door.

Quelles fonctionnalités la référence (SKU) WAF prend-elle en charge ?

La référence (SKU) WAF prend-elle en charge toutes les fonctionnalités disponibles dans la référence (SKU) Standard ?

Comment puis-je surveiller le pare-feu d’application web ?

Surveillez le pare-feu d'applications web via la journalisation des diagnostics. Pour plus d'informations, consultez Journalisation des diagnostics et métriques pour Application Gateway.

Est-ce que le mode de détection bloque le trafic ?

Non. Le mode de détection journalise uniquement le trafic qui déclenche une règle de pare-feu d’applications web.

Puis-je personnaliser les règles de pare-feu d’application web ?

Oui. Pour plus d’informations, consultez Personnaliser les règles et groupes de règles WAF.

Quelles sont les règles actuellement disponibles pour WAF ?

WAF prend actuellement en charge CRS 3.2, 3.1 et 3.0. Ces règles constituent un rempart contre la plupart des 10 principales vulnérabilités identifiées par l’OWASP (Open Web Application Security Project) :

  • Protection contre les injections de code SQL
  • Protection contre les scripts intersites
  • Protection contre les attaques web courantes comme l’injection de commande, les dissimulations de requêtes HTTP, la séparation de réponse HTTP et les attaques RFI (Remote File Inclusion)
  • Protection contre les violations de protocole HTTP
  • Protection contre les anomalies de protocole HTTP comme un agent-utilisateur hôte manquant et les en-têtes Accept
  • Protection contre les robots, les crawlers et les scanneurs
  • Détection des erreurs de configuration d’application courantes (par exemple, Apache, IIS, etc.)

Pour plus d’informations, consultez Les 10 principales vulnérabilités identifiées par l’OWASP.

CRS 2.2.9 n’est plus pris en charge pour les nouvelles stratégies WAF. Nous vous recommandons d’effectuer une mise à niveau vers la dernière version de CRS. CRS 2.2.9 ne peut pas être utilisé avec CRS 3.2/DRS 2.1 et les versions ultérieures.

Quels types de contenu le pare-feu d’applications web (WAF) prend-il en charge ?

Le WAF d’Application Gateway prend en charge les types de contenu suivants pour les règles gérées :

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

Pour les règles personnalisées :

  • application/x-www-form-urlencoded
  • application/soap+xml, application/xml, text/xml
  • application/json
  • multipart/form-data

WAF prend-il en charge la protection DDoS ?

Oui. Vous pouvez activer le service de protection DDoS sur le réseau virtuel sur lequel la passerelle d’application est déployée. Ainsi, le service Azure DDoS Protection protège aussi l’adresse IP virtuelle de la passerelle d’application.

Le pare-feu d'applications web stocke-t-il les données client ?

Non, WAF ne stocke pas les données client.

Comment fonctionne le WAF Azure avec WebSockets ?

Azure Application Gateway prend en charge WebSocket en mode natif. WebSocket sur Azure WAF sur Azure Application Gateway ne nécessite aucune configuration supplémentaire pour fonctionner. Toutefois, WAF n’inspecte pas le trafic WebSocket. Après l’établissement d'une liaison initiale entre le client et le serveur, l’échange de données entre le client et le serveur peut être de n’importe quel format, par exemple binaire ou chiffré. Par conséquent, Azure WAF ne peut pas toujours analyser les données, il agit simplement comme un proxy Pass-through pour les données.

Pour plus d’informations, consultez Vue d’ensemble de la prise en charge de WebSocket dans Application Gateway.

Étapes suivantes