Forum aux questions sur le pare-feu d’applications web Azure sur Application Gateway

Cet article répond aux questions courantes sur les fonctionnalités d’Azure Web Application Firewall (WAF) sur Application Gateway.

Qu’est-ce qu’Azure WAF ?

Azure WAF est un pare-feu d’applications web qui aide à protéger vos applications web des menaces courantes telles que les injections de code SQL, le script de site à site et autres codes malveillants exploitant des failles de sécurité. Vous pouvez définir une stratégie de pare-feu d’applications web consistant en une combinaison de règles personnalisées et gérées pour contrôler l’accès à vos applications web.

Une stratégie Azure WAF peut être appliquée aux applications web hébergées sur Application Gateway ou Azure Front Door.

Quelles sont les fonctionnalités prises en charge par la référence SKU WAF ?

La référence SKU WAF prend en charge toutes les fonctionnalités disponibles dans la référence SKU Standard.

Comment surveiller le WAF ?

Surveillez WAF via la journalisation des diagnostics. Pour plus d’informations, consultez Journalisation des diagnostics et métriques pour Application Gateway.

Le mode de détection bloque-t-il le trafic ?

Non. Le mode de détection consigne uniquement le trafic qui déclenche une règle WAF.

Puis-je personnaliser les règles WAF ?

Oui. Pour plus d’informations, consultez Personnaliser les groupes de règles et les règles WAF.

Quelles sont les règles actuellement disponibles pour le WAF ?

WAF prend actuellement en charge CRS 3.2, 3.1 et 3.0. Ces règles fournissent une sécurité de base contre la plupart des 10 principales vulnérabilités identifiées par l’Open Web Application Security Project (OWASP) :

• Protection contre les injections de code SQL
• Protection contre les scripts intersites
• Protection contre les attaques Web courantes telles que l’injection de commandes, la contrebande de requêtes HTTP, le fractionnement de réponses HTTP et l’attaque d’inclusion de fichiers à distance
• Protection contre les violations de protocole HTTP
• Protection contre les anomalies de protocole HTTP comme un agent-utilisateur hôte manquant et les en-têtes Accept
• Protection contre les robots, les crawlers et les scanneurs
• Détection des erreurs de configuration courantes des applications (c’est-à-dire Apache, IIS, etc.)

Pour plus d’informations, consultez les 10 principales vulnérabilités de l’OWASP.

CRS 2.2.9 n’est plus pris en charge pour les nouvelles stratégies WAF. Nous vous recommandons de passer à la dernière version de CRS. CRS 2.2.9 ne peut pas être utilisé avec CRS 3.2/DRS 2.1 et versions ultérieures.

Quels types de contenu le pare-feu d’applications web (WAF) prend-il en charge ?

Application Gateway WAF prend en charge les types de contenu suivants pour les règles gérées :

• application/json
• application/xml
• application/x-www-form-urlencoded
• multipart/form-data

Et pour les règles personnalisées :

• application/x-www-form-urlencoded
• application/soap+xml, application/xml, texte/xml
• application/json
• multipart/form-data

Le WAF prend-il en charge la protection DDoS ?

Oui. Vous pouvez activer la protection DDoS sur le réseau virtuel sur lequel la passerelle d’application est déployée. Ce paramètre garantit que le service Azure DDoS Protection protège également l’adresse IP virtuelle (VIP) de la passerelle d’application.

Le WAF stocke-t-il les données des clients ?

Non, WAF ne stocke pas les données client.

Comment Azure WAF fonctionne-t-il avec WebSockets ?

Azure Application Gateway prend en charge WebSocket en mode natif. WebSocket sur Azure WAF sur Azure Application Gateway ne nécessite aucune configuration supplémentaire pour fonctionner. Cependant, WAF n’inspecte pas le trafic WebSocket. Après l’établissement initial de la liaison entre le client et le serveur, l’échange de données entre le client et le serveur peut être de n’importe quel format, par exemple binaire ou crypté. Par conséquent, Azure WAF ne peut pas toujours analyser les données, il agit simplement comme un proxy direct pour les données.

Pour plus d’informations, consultez Vue d’ensemble de la prise en charge de WebSocket dans Application Gateway.

Étapes suivantes

• En savoir plus sur le pare-feu d’application web Azure.
• En savoir plus sur Azure Front Door.

Cet article répond aux questions courantes sur les fonctionnalités d’Azure Web Application Firewall (WAF) sur Application Gateway.

Azure WAF est un pare-feu d’applications web qui aide à protéger vos applications web des menaces courantes telles que les injections de code SQL, le script de site à site et autres codes malveillants exploitant des failles de sécurité. Vous pouvez définir une stratégie de pare-feu d’applications web consistant en une combinaison de règles personnalisées et gérées pour contrôler l’accès à vos applications web.

Une stratégie Azure WAF peut être appliquée aux applications web hébergées sur Application Gateway ou Azure Front Door.

La référence SKU WAF prend en charge toutes les fonctionnalités disponibles dans la référence SKU Standard.

Surveillez WAF via la journalisation des diagnostics. Pour plus d’informations, consultez Journalisation des diagnostics et métriques pour Application Gateway.

Non. Le mode de détection consigne uniquement le trafic qui déclenche une règle WAF.

Oui. Pour plus d’informations, consultez Personnaliser les groupes de règles et les règles WAF.

WAF prend actuellement en charge CRS 3.2, 3.1 et 3.0. Ces règles fournissent une sécurité de base contre la plupart des 10 principales vulnérabilités identifiées par l’Open Web Application Security Project (OWASP) :

• Protection contre les injections de code SQL
• Protection contre les scripts intersites
• Protection contre les attaques Web courantes telles que l’injection de commandes, la contrebande de requêtes HTTP, le fractionnement de réponses HTTP et l’attaque d’inclusion de fichiers à distance
• Protection contre les violations de protocole HTTP
• Protection contre les anomalies de protocole HTTP comme un agent-utilisateur hôte manquant et les en-têtes Accept
• Protection contre les robots, les crawlers et les scanneurs
• Détection des erreurs de configuration courantes des applications (c’est-à-dire Apache, IIS, etc.)

Pour plus d’informations, consultez les 10 principales vulnérabilités de l’OWASP.

CRS 2.2.9 n’est plus pris en charge pour les nouvelles stratégies WAF. Nous vous recommandons de passer à la dernière version de CRS. CRS 2.2.9 ne peut pas être utilisé avec CRS 3.2/DRS 2.1 et versions ultérieures.

Application Gateway WAF prend en charge les types de contenu suivants pour les règles gérées :

• application/json
• application/xml
• application/x-www-form-urlencoded
• multipart/form-data

Et pour les règles personnalisées :

• application/x-www-form-urlencoded
• application/soap+xml, application/xml, texte/xml
• application/json
• multipart/form-data

Oui. Vous pouvez activer la protection DDoS sur le réseau virtuel sur lequel la passerelle d’application est déployée. Ce paramètre garantit que le service Azure DDoS Protection protège également l’adresse IP virtuelle (VIP) de la passerelle d’application.

Le WAF stocke-t-il les données des clients ?

Non, WAF ne stocke pas les données client.

Azure Application Gateway prend en charge WebSocket en mode natif. WebSocket sur Azure WAF sur Azure Application Gateway ne nécessite aucune configuration supplémentaire pour fonctionner. Cependant, WAF n’inspecte pas le trafic WebSocket. Après l’établissement initial de la liaison entre le client et le serveur, l’échange de données entre le client et le serveur peut être de n’importe quel format, par exemple binaire ou crypté. Par conséquent, Azure WAF ne peut pas toujours analyser les données, il agit simplement comme un proxy direct pour les données.

Pour plus d’informations, consultez Vue d’ensemble de la prise en charge de WebSocket dans Application Gateway.

Étapes suivantes

• En savoir plus sur le pare-feu d’application web Azure.
• En savoir plus sur Azure Front Door.