Application Gateway 上の Azure Web Application Firewall に関してよく寄せられる質問

この記事では、Application Gateway の Azure Web Application Firewall (WAF) の特徴と機能に関してよく寄せられる質問に回答します。

Azure WAF とは何ですか?

Azure WAF は Web アプリケーション ファイアウォールです。SQL インジェクション、クロスサイト スクリプティング、その他の Web エクスプロイトなどの一般的な脅威から Web アプリケーションを保護するのに役立ちます。 Web アプリケーションへのアクセスを制御するために、カスタム ルールとマネージド ルールの組み合わせからなる WAF ポリシーを定義できます。

Azure WAF ポリシーは、Application Gateway または Azure Front Door でホストされている Web アプリケーションに適用できます。

WAF SKU はどのような機能をサポートしていますか?

WAF SKU は、Standard SKU で使用できるすべての機能をサポートしています。

WAFを監視するにはどうすればよいですか?

診断ログを通じてWAFを監視します。 詳細については、「 Application Gateway の診断ログとメトリック」を参照してください。

検出モードはトラフィックをブロックしますか?

いいえ。 検出モードでは、WAF ルールをトリガーするトラフィックのみがログに記録されます。

WAFルールをカスタマイズできますか?

はい。 詳細については、「 WAF ルール グループとルールのカスタマイズ」を参照してください。

現在、WAFではどのようなルールが利用できますか?

WAFは現在、CRS 3.2、 3.1 、 および3.0をサポートしています。 これらのルールは、Open Web Application Security Project(OWASP)が特定した上位10の脆弱性のほとんどに対してベースラインセキュリティを提供します。

• SQL インジェクションからの保護
• クロスサイトスクリプティング保護
• コマンドインジェクション、HTTPリクエストスマグリング、HTTPレスポンス分割、リモートファイルインクルージョン攻撃などの一般的なWeb攻撃に対する保護
• HTTP プロトコル違反に対する保護
• HTTP プロトコル異常に対する保護 (ホスト ユーザー エージェントと承認ヘッダーが見つからない場合など)
• ボット、クローラー、スキャナーの防止
• 一般的なアプリケーション設定ミス (Apache、IIS など) の検出

詳細については、「 OWASP Top 10 Vulnerabilities」を参照してください。

新しい WAF ポリシーでは、CRS 2.2.9 はサポートされなくなりました。 最新のCRSバージョンにアップグレードすることをお勧めします。 CRS 2.2.9 は、CRS 3.2/DRS 2.1 以降のバージョンと一緒に使用することはできません。

WAF はどのようなコンテンツ タイプをサポートしていますか。

Application Gateway WAF では、マネージド ルールに対して次のコンテンツの種類がサポートされています。

• application/json
• アプリケーション/XML
• アプリケーション/x-www-form-urlencoded
• マルチパート/フォームデータ

また、カスタムルールの場合:

• アプリケーション/x-www-form-urlencoded
• アプリケーション/SOAP + XML、アプリケーション/XML、テキスト/XML
• application/json
• マルチパート/フォームデータ

WAFはDDoS攻撃対策に対応していますか?

はい。 DDoS 保護は、アプリケーション ゲートウェイがデプロイされている仮想ネットワークで有効にできます。 この設定により、Azure DDoS Protection サービスによってアプリケーション ゲートウェイの仮想 IP (VIP) も保護されます。

WAFは顧客データを保存しますか?

いいえ、WAFは顧客データを保存しません。

Azure WAF は WebSocket とどのように連携しますか?

Azure Application Gateway は WebSocket をネイティブにサポートしています。 Azure Application Gateway 上の Azure WAF 上の WebSocket は、動作するために追加の構成を必要としません。 ただし、WAF は WebSocket トラフィックを検査しません。 クライアントとサーバー間の最初のハンドシェイクの後、クライアントとサーバー間のデータ交換は、バイナリや暗号化など、任意の形式にすることができます。 そのため、Azure WAF は常にデータを解析できるわけではなく、データのパススルー プロキシとして機能するだけです。

詳細については、「Application Gateway での WebSocket のサポートの概要」を参照してください。

次のステップ

• Azure Web アプリケーション ファイアウォールについて学習します。
• Azure Front Door の詳細を確認します。

この記事では、Application Gateway の Azure Web Application Firewall (WAF) の特徴と機能に関してよく寄せられる質問に回答します。

Azure WAF は Web アプリケーション ファイアウォールです。SQL インジェクション、クロスサイト スクリプティング、その他の Web エクスプロイトなどの一般的な脅威から Web アプリケーションを保護するのに役立ちます。 Web アプリケーションへのアクセスを制御するために、カスタム ルールとマネージド ルールの組み合わせからなる WAF ポリシーを定義できます。

Azure WAF ポリシーは、Application Gateway または Azure Front Door でホストされている Web アプリケーションに適用できます。

WAF SKU は、Standard SKU で使用できるすべての機能をサポートしています。

診断ログを通じてWAFを監視します。 詳細については、「 Application Gateway の診断ログとメトリック」を参照してください。

いいえ。 検出モードでは、WAF ルールをトリガーするトラフィックのみがログに記録されます。

はい。 詳細については、「 WAF ルール グループとルールのカスタマイズ」を参照してください。

WAFは現在、CRS 3.2、 3.1 、 および3.0をサポートしています。 これらのルールは、Open Web Application Security Project(OWASP)が特定した上位10の脆弱性のほとんどに対してベースラインセキュリティを提供します。

• SQL インジェクションからの保護
• クロスサイトスクリプティング保護
• コマンドインジェクション、HTTPリクエストスマグリング、HTTPレスポンス分割、リモートファイルインクルージョン攻撃などの一般的なWeb攻撃に対する保護
• HTTP プロトコル違反に対する保護
• HTTP プロトコル異常に対する保護 (ホスト ユーザー エージェントと承認ヘッダーが見つからない場合など)
• ボット、クローラー、スキャナーの防止
• 一般的なアプリケーション設定ミス (Apache、IIS など) の検出

詳細については、「 OWASP Top 10 Vulnerabilities」を参照してください。

新しい WAF ポリシーでは、CRS 2.2.9 はサポートされなくなりました。 最新のCRSバージョンにアップグレードすることをお勧めします。 CRS 2.2.9 は、CRS 3.2/DRS 2.1 以降のバージョンと一緒に使用することはできません。

Application Gateway WAF では、マネージド ルールに対して次のコンテンツの種類がサポートされています。

• application/json
• アプリケーション/XML
• アプリケーション/x-www-form-urlencoded
• マルチパート/フォームデータ

また、カスタムルールの場合:

• アプリケーション/x-www-form-urlencoded
• アプリケーション/SOAP + XML、アプリケーション/XML、テキスト/XML
• application/json
• マルチパート/フォームデータ

はい。 DDoS 保護は、アプリケーション ゲートウェイがデプロイされている仮想ネットワークで有効にできます。 この設定により、Azure DDoS Protection サービスによってアプリケーション ゲートウェイの仮想 IP (VIP) も保護されます。

WAFは顧客データを保存しますか?

いいえ、WAFは顧客データを保存しません。

Azure Application Gateway は WebSocket をネイティブにサポートしています。 Azure Application Gateway 上の Azure WAF 上の WebSocket は、動作するために追加の構成を必要としません。 ただし、WAF は WebSocket トラフィックを検査しません。 クライアントとサーバー間の最初のハンドシェイクの後、クライアントとサーバー間のデータ交換は、バイナリや暗号化など、任意の形式にすることができます。 そのため、Azure WAF は常にデータを解析できるわけではなく、データのパススルー プロキシとして機能するだけです。

詳細については、「Application Gateway での WebSocket のサポートの概要」を参照してください。

次のステップ

• Azure Web アプリケーション ファイアウォールについて学習します。
• Azure Front Door の詳細を確認します。